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内 容 简 介 

本 教材 是 以 教育 部 关于 构建 “以 工作 过 程 为 导向 ”的 课程 体系 、 开 发 “工学 结合 "特色 教材 为 设计 思 
路 ,以 一 个 职业 人 成 长 的 经 历 为 项 目 背 景 ,按照 基于 工作 过 程 的 思路 ,通过 简单 网 络 设备 配置 与 管理 .局 
域 网 中 的 广播 流量 管理 .局域网 间 互 联 、 网 络 安全 配置 .无 线 网 络 配 置 、 网 络 综合 配置 应 用 6 个 学 习 情 
境 , 全 面 讲述 了 局 域 网 络 中 基于 设备 的 主要 管理 与 配置 方法 。 书 中 配 有 大 量 插图 和 操作 代码 ,内 容 充 
实 ,可 操作 性 强 。 

本 书 可 作为 高 职高 专 院 校 计 算 机 专业 、 网 络 技术 专业 的 教材 .也 可 作为 计算 机 网 络 公司 工程 技术 人 
员 的 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电 话 : 010-62782989 13701121933 
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出 版 说 明 


我 国 高 职高 专 教育 经 过 近 十 年 的 发 展 ,已 经 转向 深度 教学 改革 阶段 。 
教育 部 2006 年 12 月 发 布 了 教 高 [2006]16 号 文件 “关于 全 面 提高 高 等 职 
业 教 育 教学 质量 的 若干 意见 ”, 大 力 推行 工学 结合 ,突出 实践 能 力 培养 ,全 
面 提高 高 职高 专 教学 质量 。 

清华 大 学 出 版 社 作 为 国内 大 学 出 版 社 的 领跑 者 ,为 了 进一步 推动 高 
职高 专 计算 机 专业 教材 的 建设 工作 ,适应 高 职高 专 院 校 计算 机 类 人 才 培 
养 的 发 展 趋势 ,根据 教 高 [2006]16 号 文件 的 精神 ,2007 年 秋季 开始 了 切 
合 新 一 轮 教学 改革 的 教材 建设 工作 。 

目前 国内 高 职高 专 院 校 计算 机 网 络 与 软件 专业 的 教材 品种 繁多 ,但 
切合 国家 计算 机 网 络 与 软件 技术 专业 领域 技能 型 紧缺 人 才 培 养 培训 方案 
并 符合 企业 的 实际 需要 ,能够 成 体系 的 教材 还 不 成 熟 。 

我 们 组 织 国内 对 计算 机 网 络 和 软件 人 才 培 养 模式 有 研究 并 且 有 过 一 
段 实践 经 验 的 高 职高 专 院 校 ,进行 了 较 长 时 间 的 研讨 和 调研 , 遂 选 出 一 批 
富有 工程 实践 经 验 和 教学 经 验 的 双 师 型 教师 ,合力 编写 了 这 套 适 用 于 高 
职高 专 计算 机 网 络 .软件 专业 的 教材 。 

本 套 教材 的 编写 方法 是 以 任务 驱动 案例 教学 为 核心 ,以 项 目 开发 为 
主线 。 我 们 研究 分 析 了 国内 外 先进 职业 教育 的 培训 模式 、 教 学 方法 和 教 
材 特 色 , 消 化 吸收 优秀 的 经 验 和 成 果 。 以 培养 技术 应 用 型 人 才 为 目标 ,以 
企业 对 人 才 的 需要 为 依据 ,把 软件 工程 和 项 目 管理 的 思想 完全 融入 教材 
体系 ,将 基本 技能 培养 和 主流 技术 相 结合 ,课程 设置 中 重点 突出 、 主 辅 分 
明 结构 合理 .衔接 紧凑 。 教 材 侧重 培养 学 生 的 实战 操作 能 力学. 思 、 练 
相 结合 , 旨 在 通过 项 目 实践 ,增强 学 生 的 职业 能 力 ,使 知识 从 书本 中 释放 
并 转化 为 专业 技能 。 


一 、 教 材 编写 思想 


本 套 教材 以 案例 为 中 心 ,以 技能 培养 为 目标 ,围绕 开发 项 目 所 用 到 知 
识 点 进行 讲解 ,对 某 些 知识 点 附 上 相关 的 例题 ,以 帮助 读者 理解 ,进而 将 
知识 转变 为 技能 。 

考虑 到 是 以 “项目 设计 ?为 核心 组 织 教学 ,所 以 在 每 一 学 期 配 有 相应 
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的 实 训 课程 及 项 目 开发 手册 ,要 求学 生 在 教师 的 指导 下 ,能 整合 本 学 期 所 学 的 知识 内 容 ， 
相互 协作 , 综合 应 用 该 学 期 的 知识 进行 项 目 开 发 .同时 在 教材 中 采用 了 大 量 的 案例 ,这 些 
案例 紧密 地 结合 教材 中 的 各 个 知识 点 ,循序 渐进 ,由 浅 入 深 ,在 整体 上 体现 了 内 容 主 导 、 实 
例 解 析 , 以 点 带 面 的 模式 ,配合 课程 后 期 以 项 目 设计 贯穿 教学 内 容 的 教学 模式 。 

软件 开发 技术 具有 种 类 繁多 、 更 新 速度 快 的 特点 。 本 套 教材 在 介绍 软件 开发 主流 技 
术 的 同时 ,帮助 学 生 建立 软件 相关 技术 的 横向 及 纵向 的 关系 ,培养 学 生 综合 应 用 所 学 知识 
的 能 力 。 


二 、 从 书 特色 


本 系列 教材 体现 目前 的 工学 结合 教改 思想 ,充分 结合 教改 现状 ,突出 项 目 面向 教学 和 
任务 驱动 模式 教学 改革 成 果 , 打 造 立体 化 精品 教材 。 

1. 参照 或 吸纳 国内 外 优秀 计算 机 网 络 .软件 专业 教材 的 编写 思想 ,采用 本 土 化 的 实 
际 项 目 或 者 任务 ,以 保证 其 有 更 强 的 实用 性 ,并 与 理论 内 容 有 很 强 的 关联 性 。 

2. 准确 把 握 高 职高 专 软件 专业 人 才 的 培养 目标 和 特点 。 

3. 充分 调查 研究 国内 软件 企业 ,确定 了 基于 Java 和 . NET 的 两 个 主流 技术 路 线 , 再 
将 其 组 合成 相应 的 课程 链 。 

4. 教材 通过 一 个 个 的 教学 任务 或 者 教学 项 目 ,在 做 中 学 ,在 学 中 做 ,以 及 边 学 边 做 ， 
重点 突出 技能 培养 。 在 突出 技能 培养 的 同时 ,还 介绍 解决 思路 和 方法 ,培养 学 生 未 来 在 就 
业 岗 位 上 的 终身 学 习 能 力 。 

5. 借鉴 或 采用 项 目 驱 动 的 教学 方法 和 考核 制度 ,突出 计算 机 网 络 、 软 件 人 才 培 训 的 
先进 性 、 工 具 性 ,实践 性 和 应 用 性 。 

6. 以 案例 为 中 心 ,以 能 力 培养 为 目标 ,并 以 实际 工作 的 例子 引入 概念 ,符合 学 生 的 认 
知 规律 。 语 言 简洁 明了 清晰 易 懂 .更 具 人 性 化 。 

7. 符合 国家 计算 机 网 络 .软件 人 才 的 培养 目标 ;采用 引入 知识 点 .讲述 知识 点 .强化 
知识 点 、 应 用 知识 点 ,综合 知识 点 的 模式 ,由 浅 入 深 地 展开 对 技术 内 容 的 讲述 。 

8. 为 了 便于 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正在 建设 本 套 教材 的 教学 服务 资 
源 。 在 清华 大 学 出 版 社 网 站 (www. tup. com. cn) 免费 提供 教材 的 电子 课件 .案例 库 等 
资源 。 

高 职高 专 教育 正 处 于 新 一 轮 教学 深度 改革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 建 
设 , 依 然 是 新 课题 。 和 希望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 及 时 反馈 
给 我 们 。 清 华 大 学 出 版 社 将 对 已 出 版 的 教材 不 断 地 修订 完善 ,提高 教材 质量 ,完善 教材 
服务 体系 ,为 我 国 的 高 职高 专 教育 继续 出 版 优秀 的 高 质量 的 教材 。 


清华 大 学 出 版 社 
高 职高 专 计算 机 任务 驱动 模式 教材 编审 委员 会 
rawstone@ 126, com 


2009 年 1 月 1 日 


2006 年 ,教育 部 、 财 政 部 联合 推行 国家 示范 性 高 职 院 校 建设 项 目 ， 
提出 以 专业 建设 为 核心 ,以 创新 “工学 结合 ”人才 培 养 模式 为 改革 切入 
点 ,通过 三 年 的 时 间 , 在 全 国 建设 100 所 示范 性 高 职 院 校 ,在 区 域 乃 至 
全 国 起 到 辐射 带动 作用 。 在 示范 院 校 建设 项 目 中 ,明确 了 创新 “工学 结 
合 ” 人 才 培 养 模式 和 “以 工作 过 程 为 导向 ”的 课程 体系 两 个 核心 建设 点 。 
其 中 ,开发 “工学 结合 ”的 特色 教材 是 课程 建设 中 的 核心 内 容 。 因 而 ,应 
该 把 “工学 结合 ”的 思想 和 基于 工作 过 程 的 思路 深入 到 教材 开发 和 设计 
的 方方面面 ,以 此 推动 专业 建设 与 发 展 ,进而 培养 符合 区 域 经 济 发 展 需 
求 的 高 技能 人 才 。 

本 书 就 是 为 了 示范 专业 建设 需要 而 开发 的 特色 创新 教材 。 本 教材 以 
一 个 职业 人 的 成 长 为 主线 ,以 任务 驱动 为 编写 体例 ,按照 基于 工作 过 程 的 
教学 思想 来 设计 和 开发 教学 与 实践 内 容 。 通 过 本 教材 的 学 习 和 实践 ,再 
参考 其 他 相关 书籍 ,即使 是 刚刚 接触 网 络 的 用 户 ,也 可 以 独立 地 完成 网 络 
的 规划 和 构建 工作 。 

本 教材 共 分 为 6 个 情境 ,分 别 如 下 : 

学 习 情 境 1 简单 网 络 设备 配置 与 管理 ; 

学 习 情 境 2 局 域 网 中 的 广播 流量 管理 ; 

学 习 情 境 3 ”局域网 间 互 联 ; 

学 习 情 境 4 网 络 安全 配置 ; 

学 习 情 境 5 无 线 网 络 配 置 ; 

学 习 情 境 6 网 络 综合 配置 应 用 。 

本 书 具有 如 下 一 些 特色 和 价值 : 

(1) 按照 职业 成 长 历程 来 规划 设计 教学 情境 , 按 阶梯 递 进 式 “由 易 到 
难 ,由 简单 到 复杂 ?地 构建 学 习 情 境 , 使 得 学 生 在 学 习 过 程 中 体验 “职业 
人 ”成 长 的 历程 。 

(2) 基于 工作 过 程 的 教学 思想 ,通过 资讯 一 决策 一 计划 一 实施 一 检 
查 一 评估 6 个 环节 ,实现 “教学 做 一 体 化 ?的 教材 设计 目标 。 

G) 采用 "知识 性 与 技能 性 相 结合 ”的 模式 ,体现 理论 的 适度 性 、 实 践 
的 指导 性 、 应 用 的 完整 性 。 


ill 
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(4) 按照 知识 够 用 的 原则 ,将 知识 点 贯穿 于 任务 实施 的 过 程 中 ,层次 清晰 ,概念 简洁 ， 
叙述 清楚 ,图文并茂 ,操作 性 强 。 

本 教材 由 淄博 职业 学 院 信息 工 程 系 的 李 学 祥 任 主编 , 田 挺 任 副 主编 ,同时 参与 编写 的 
还 有 张 志 浩 、 郑 保 强 、 蔡 可 追 等 。 其 中 ,学 习 情境 1 由 郑 保 强 编写 ,学习 情境 2 和 学 习 情 境 
6 由 田 挺 编写 ,学 习 情 境 3 由 李 学 祥 编写 ,学 习 情境 4 由 蔡 可 追 编写 ,学 习 情 境 5 由 张 志 
浩 编写 ,在 本 教材 的 编写 过 程 中 还 得 到 思科 、 锐 捷 等 网 络 公 司 相关 工程 技术 人 员 的 指导 和 
帮助 ,在 此 表示 衷心 的 感谢 。 

由 于 编者 学 识 有 限 ,所 以 书 中 难免 有 不 妥 和 错误 之 处 ,恳请 广大 读者 批评 指正 。 


编 者 
2009 年 10 月 
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任务 情境 (资讯 ) 


计算 机 网 络 近年 来 发 展 迅 速 。20 年 前 ,在 我 国 很 少 有 人 接触 过 网 络 。 现 在 ,计算 机 
网 络 以 及 Internet 已 成 为 我 们 社会 结构 的 一 个 基本 组 成 部 分 。 网 络 被 广泛 应 用 于 工商 业 
社会 生活 的 各 个 方面 ,包括 电子 银行 .电子 商务 、 现 代 化 的 企业 管理 ,信息 服务 等 都 以 计算 
机 网 络 系统 为 基础 。 从 学 校 远 程 教育 到 政府 日 常 办 公 ,乃至 现在 的 电子 社区 ,很 多 方面 都 
离 不 开 网 络 技术 。 可 以 不 夸张 地 说 ,网 络 在 当今 世界 无 处 不 在 。 

网 络 的 飞速 发 展 需要 配套 的 网 络 管理 ,所 以 了 解 和 掌握 网 络 ,特别 是 简单 网 络 的 配置 
与 管理 成 为 我 们 的 必修 课 。 网 络 是 现代 的 信息 基础 设施 ,人 们 需要 的 信息 传递 .营销 、 服 
务 、 交 流 、 娱 乐 等 各 种 活动 都 可 以 通过 网 络 完 成 , 网络 的 质量 直接 决定 了 社会 生活 和 经 济 
生活 的 质量 。 在 计算 机 网 络 的 质量 体系 中 ,网 络 管理 是 一 个 关键 环节 ,网 络 管理 的 质量 直 
接 影响 网 络 的 运行 质量 。 

从 广义 上 讲 , 任 何 一 个 系统 都 需要 管理 ,只 是 由 于 系统 的 大 小 、 复 杂 性 的 不 同 , 管 理 在 
整个 系统 中 的 重要 性 也 就 有 重 有 轻 。 网 络 也 是 一 个 系统 。 虽 然 网 络 管理 很 早 就 有 , 却 一 
直 没 有 得 到 应 有 的 重视 。 这 是 因为 以 前 的 网 络 规 模 较 小 ,而 且 复杂 性 不 高 ,简单 的 网 络 管 
理 系统 就 可 以 满足 网 络 正常 运行 的 需要 , 因而 对 其 研究 较 少 。 但 随 着 网 络 的 发 展 ,其 规 
模 逐 渐 增 大 ,复杂 性 增加 ,网 络 管理 技术 凸显 其 重要 性 ,而 网 络 正 常 的 运行 对 于 网 络 管理 
的 依赖 性 也 越 来 越 大 。 


任务 分 析 ( 决 策 ) 


1. 计算 机 网 络 的 概念 


所 谓 计算 机 网 络 ,就 是 将 分 散 的 计算 机 通过 通信 线路 有 机 地 结合 在 一 起 ,形成 相互 通 
信 、 软 /硬件 资源 共享 的 综合 系统 。 

网 络 是 计算 机 的 一 个 群体 ,是 由 多 台 计 算 机 组 成 的 ,这 些 计算 机 通过 一 定 的 通信 介质 
互联 在 一 起 。 计 算 机 之 间 的 互联 ,是 指 彼此 之 间 能 够 交换 信息 。 互 联通 常 有 两 种 方式 : 
即 计算 机 间 通 过 双 绞 线 、 同 轴 电 缆 、 电 话 线 、 光 纤 等 有 形 通 信介 质 连接 ,或 通过 激光 、 微 波 、 
地 球 卫星 通信 信道 等 无 形 介 质 互联 。 

随 着 计算 机 技术 的 迅猛 发 展 ,计算 机 的 应 用 逐渐 渗透 到 各 个 技术 领域 和 社会 生活 的 
各 个 方面 。 社 会 的 信息 化 .数据 的 分 布 处 理 、 计 算 机 资源 的 共享 等 各 种 应 用 要 求 推动 计算 
机 技术 朝 着 群体 化 方向 发 展 ,促使 计算 机 技术 与 通信 技术 紧密 结合 。 计 算 机 网 络 属于 多 
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机 系统 的 范畴 ,是 计算 机 和 通信 这 两 大 现代 技术 相 结 合 的 产物 , 它 代表 着 当前 计算 机 体系 
结构 发 展 的 一 个 重要 方向 。 

计算 机 网 络 通常 分 为 3 大 类 : 多 机 系统 、 局 域 网 (LAN) 和 广域网 (WAN)( 或 称 远 
程 网 络 ) 。 以 微机 为 主 组 成 的 局 域 网 是 当今 计算 机 应 用 中 的 一 个 空前 活跃 的 领域 。 局 
域 网 技术 从 20 世纪 60 年 代 开 始 萌芽 ,经 过 20 世纪 70 年 代 的 大 发 展 ,20 世纪 80 年 代 
走向 成 熟 。 到 了 20 世纪 90 年 代 , 局 域 网 技术 更 趋 于 成 熟 , 光 纤 开 始 发 展 ,局 域 网 应 用 
大 量 普 及 。 


2. 什么 是 网 络 管理 


按照 国际 标准 化 组 织 (ISO) 的 定义 ,网 络 管理 是 指 规划 ,监督 .控制 网 络 资源 的 使 用 
和 网 络 的 各 种 活动 ,以 使 网 络 的 性 能 达到 最 优 。 网络 管理 的 目的 在 于 提供 对 计算 机 网 络 
进行 规划 设计、 操作 运行 管理、 监视, 分析、 控制 评估 和 扩展 的 手段 ,从 而 合理 地 组 织 和 
利用 系统 资源 ,提供 安全 、 可 靠 、 有 效 和 友好 的 服务 。 

简单 地 讲 ,网络 管理 就 是 通过 某 种 方式 对 网 络 状态 进行 调整 ,使 网 络 能 正常 高效 地 
运行 。 其 目的 很 明确 ,就 是 使 网 络 中 的 各 种 资源 得 到 更 加 高 效 的 利用 ; 当 网 络 出 现 故障 
时 ,能 及 时 做 出 报告 和 处 理 , 并 协调 、 保 持 网 络 的 高 效 运行 。 


3. 网 络 管理 的 分 类 及 功能 是 怎样 的 


根据 国际 标准 化 组 织 的 定义 ,网 络 管理 有 5 大 功能 : 故障 管理 .配置 管理 .性 能 管理 、 
安全 管理 及 计 费 管理 。 

(1) 网 络 故障 管理 

计算 机 网 络 出 现 意外 故障 是 常 有 的 事情 , 在 很 多 情况 下 ,故障 的 发 生 可 能 对 网 络 的 
使 用 者 带 来 难以 估价 的 损失 。 巾 于 发 生 失 效 故 障 时 ,往往 不 能 迅速 有效 地 确定 故障 所 在 
的 准确 位 置 ,而 需要 相关 技术 的 支持 ,因此 ,需要 有 一 个 故障 管理 系统 来 检测 .定位 和 排除 
网 络 硬件 和 软件 中 的 故障 。 当 出 现 故障 时 .该 功能 能 确认 并 记录 故障 , 找 出 其 位 置 并 尽 可 
能 排除 它 ,保证 网 络 能 提供 连续 、 可 靠 的 服务 。 

(2) 网 络 配置 管理 

一 个 实际 中 使 用 的 计算 机 网 络 是 由 多 个 厂家 提供 的 产品 、 设 备 相 互 连 接 而 成 的 , 因 
此 各 设备 需要 相互 了 解 和 适应 与 其 发 生 关系 的 其 他 设备 的 参数 、 状 态 等 信息 ,否则 就 不 
能 有 效 甚至 正常 地 工作 。 尤 其 是 网 络 系统 常常 是 动态 变化 的 ,如 网 络 系统 本 身 要 随 着 用 
户 的 增 减 .设备 的 维修 或 更 新 来 调整 网 络 配置 ,因此 需要 有 足够 的 技术 手段 支持 这 种 调整 
或 改变 , 使 网 络 能 更 有 效 地 工作 。 另 外 ,要 掌握 和 控制 网 络 的 状态 ,包括 网 络 内 各 个 设备 
的 状态 及 其 连接 关系 。 网 络 配置 管理 的 典型 方法 是 用 逻辑 图 来 描绘 所 有 网 络 设备 及 其 罗 
辑 关系 ,并 将 网 络 的 确切 物理 布局 以 适当 的 比例 映射 到 这 个 逻辑 图 上 ;还 要 用 精心 设计 的 
图 标 来 表示 各 种 网 络 对 象 , 图 标 涂 上 不 同 颜色 表示 设备 的 不 同 状态 。 

(3) 网 络 性 能 管理 

鉴于 网 络 资源 的 有 限 性 ,最 理想 的 情况 是 在 占用 最 少 的 网 络 资源 和 支出 最 少 通信 费 
用 的 前 提 下 ,网 络 提供 持续 、 可 靠 的 通信 和 能力, 并 使 网 络 资源 得 到 最 有 效 的 利用 。 这 主要 
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考察 网 络 运行 状态 的 好 坏 。 网 络 性 能 管理 使 网 络 管理 员 能 够 监视 网 络 运 行 的 参数 ,如 天 
吐 量 、 响 应 时 间 及 网 络 的 可 用 性 等 。 

(4) 网 络 安全 管理 

计算 机 网 络 系统 的 特点 决定 了 网 络 安全 固有 的 脆弱 性 ,要 确保 网 络 资源 不 被 非法 使 
用 ,确保 网 络 管理 系统 本 身 不 被 未 经 授权 的 访问 ,保持 网 络 管理 信息 的 机 密 性 和 完整 性 。 
网 络 安全 管理 是 对 网 络 资源 及 其 重要 信息 访问 的 约束 和 控制 ,包括 验证 网 络 用 户 的 访问 
权限 和 优先 级 ,检测 和 记录 未 授权 用 户 企 图 进行 的 不 应 有 的 操作 。 

(5) 网 络 计 费 管理 

在 有 偿 使 用 计算 机 网 络 系统 中 的 信息 资源 的 情况 下 , 需要 能 够 记录 和 统计 哪些 用 户 
利用 哪 条 通信 线路 传输 了 多 少 信息 ,以 及 完成 什么 工作 等 。 在 非 商 业 化 的 网 络 上 ,仍然 需 
要 统计 各 条 线路 工作 的 繁 闲 情况 和 不 同 资源 的 利用 情况 ,以 供 决策 参考 。 账 务 计 费 管理 
提供 了 计算 一 个 特定 网 络 或 网 段 的 运行 成 本 的 手段 ,以 度量 各 个 用 户 和 应 用 程序 对 网 络 
资源 的 使 用 情况 。 


任务 设计 (计划 ) 


任务 1.1 熟悉 网 络 设备 操作 系统 
任务 1.2. 连接 网 络 设备 
任务 1.3 IP 地 址 分 配 及 IP 子 网 划分 


任务 实施 (实施 ) 


任务 11 熟悉 网 络 设备 操作 系统 
下 面 以 Cisco 系列 产品 的 TOS 来 介绍 网 络 设备 操作 系统 的 概念 。 


1.1.1 简单 了 解 设 备 及 连接 


网 络 互联 主要 是 通过 局 域 网 和 广域网 来 实现 的 ,连接 局 域 网 和 广域网 使 用 的 设备 和 
技术 完全 不 同 。 下 面 主 要 介绍 网 络 设备 在 局 域 网 和 广域网 中 的 连接 方法 。 


1. 直 连 线 


直 连 线 的 特点 是 一 根 电缆 的 两 头 的 接线 顺序 完全 一 致 , 即 一 端 为 568-B, 另 一 端 也 为 
568-B; 或 者 一 端 为 568-A , 另 一 端 也 为 568-A; 这 保证 了 接 到 RJ-45 头 的 同一 根 针 的 线 的 
两 个 末端 完全 一 样 。 可 以 用 下 面 的 方法 来 检查 是 否 为 直 连 线 : 把 同一 根 线 上 的 两 个 RJ- 
45 头 按 照 同 一 个 方向 摆 在 一 起 ,其 连 线 的 顺序 是 一 样 的 。 

直 连 线 大 多 用 于 不 同 层 设备 的 连接 ,但 也 有 例外 。 采 用 直 连 线 的 有 : 

(D 交换 机 和 路 由 器 相连 ; 
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@ 交换 机 和 PC 机 或 服务 器 相连 ; 

@ 集线器 和 PC 机 或 服务 器 相连 。 

还 有 一 种 方法 判断 是 否 采 用 直 连 线 : 在 连接 设备 时 ,查看 设备 的 端口 下 面 是 否 有 一 
个 “X” 标 志 。 如 果 要 连接 的 两 个 设备 的 端口 一 个 有 “X”, 而 另 一 个 没有 “X”, 则 使 用 的 是 
直 连 线 。 


2. 交叉 线 


交叉 线 的 特点 是 在 一 根 电缆 的 两 端 ,其 接线 顺序 一 端 为 568-A, 另 一 端 为 568-B。 这 
样 相当 于 一 端的 第 一 根 针 和 另 一 端的 第 三 根 针 连 在 一 起 ;一 端的 第 二 根 针 和 另 一 端的 第 
六 根 针 连 在 一 起 。 这 样 做 的 目的 是 为 了 适当 地 校正 ,传递 和 接收 设备 信号 。 

交叉 线 大 多 用 于 相同 设备 的 连接 ,但 也 有 例外 。 采 用 交叉 线 的 有 : 

(D 交换 机 和 交换 机 相连 ; 

@ 集线器 和 集线器 相连 ; 

C) 路 由 器 和 路 由 器 相连 ; 

@ PC 和 PC 相连 ; 

C) 交换 机 和 集线器 相连 。 


3. 翻转 线 


翻转 线 正好 和 直 连 线 相反 , 即 一 根 电缆 的 两 端 线 序 完 全 相反 , 即 把 同一 根 线 的 两 个 
RJ-45 头 按照 同一 个 方向 摆 在 一 起 ,其 线 序 是 完全 相反 的 。 
翻转 线 只 用 于 一 种 情况 , 即 始终 和 Cisco 设备 的 控制 台 (Console) 端 口 的 连接 。 


1.1.2 操作 系统 简介 


互联 网 操作 系统 (IOS,Internetwork Operating System) 是 由 Cisco 公司 开发 的 用 于 
管理 Cisco 网 络 设备 的 操作 系统 。Cisco 公司 的 很 多 网 络 设备 都 使 用 IOS, 其 最 新 版 本 是 
12. 3。 

使 用 IOS 软件 最 常用 的 方法 是 通过 IOS 的 命令 行 接口 (CLI, Command Line 
Interface) 。 通 过 管理 控制 台 端 口 .AUX(CModem 连接 ) 或 者 Telnet, 都 可 以 进行 IOS CLI 
的 配置 。 对 IOS 命令 行 接口 的 访问 也 称 为 Exec 会 话 。IOS 的 CLI 是 一 种 类 DOS 的 界 
面 ,用 户 通 过 输入 相应 的 命令 来 配置 IOS, 除 了 密码 外 ,IOS 命令 不 区 分 大 小 写 。 


1. Cisco 设备 的 启动 


在 了 解 IOS 之 前 ,有 必要 先 对 Cisco 设备 的 工作 方式 有 所 了 解 ,包括 Cisco 设备 的 启 
动 过程 .配置 方式 等 等 。 

不 管 是 Cisco 的 路 由 器 还 是 交换 机 ,它们 的 启动 都 有 以 下 过 程 : 

CD 发 现 和 检测 硬件 设备 (包括 设备 内 部 的 各 种 组 件 ); 

© 发 现 和 安装 IOS 软件 ; 
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C 发 现 和 应 用 配置 文件 。 
这 里 介绍 的 启动 过 程 只 是 一 个 概述 ,后 面 的 章节 将 详细 介绍 这 些 过 程 。 


2. 设备 的 配置 方法 


配置 Cisco 设备 的 方法 有 以 下 几 种 : 

CD 通过 控制 台 端 口 配置 : 其 优点 是 配置 简单 ;缺点 是 不 能 进行 远程 配置 ,并 且 安 全 
性 也 不 高 。 

© 通过 AUX(auxiliary) 口 配置 : 在 路 由 器 的 背面 有 一 个 AUX D ,通过 它 可 以 进行 
远程 配置 ,把 AUX 口 与 Modem 相连 ,管理 员 就 可 以 通过 远程 网 络 拨号 到 这 个 Modem Ht 
行 过 程控 制 了 。 

© 通过 虚拟 终端 (Virtual Terminal) 配 置 : 配置 Cisco 设备 的 一 种 常用 方法 是 通过 
Telnet 来 配置 。 在 某 个 终端 设备 中 运行 Telnet 应 用 程序 来 进行 远程 控制 ,就 像 在 本 地 控 
制 一 样 。 在 使 用 Telnet 之 前 ,必须 在 被 控制 的 设备 上 配置 IP 地 址 ,确保 该 设备 能 在 网 络 
工作 。 这 种 配置 方式 的 优点 是 方便 ,安全 。 由 于 路 由 器 等 网 络 设备 在 网 络 中 都 是 关键 的 
设备 ,因此 通常 都 集中 放 在 某 个 机 房 , 并 且 要 上 锁 保护 ,网 络 管理 员 可 以 在 不 进入 机 房 的 
情况 下 通过 Telnet 远程 配置 路 由 器 。 但 这 种 安全 性 也 是 相对 的 ,因为 如 果 网 络 管理 员 的 
密码 泄露 ,那么 人 人 都 可 以 控制 路 由 器 了 。 另 外 ,对 于 刚 出 三 的 设备 (没有 任何 配置 ) 时 ， 
不 能 使 用 Telnet。 

CD 通过 TFTP 服务 器 配置 TFTP 服务 器 是 一 台 PC 或 者 UNIX 服务 器 。 它 可 以 用 于 
备份 Cisco 设备 的 配置 文件 ,可 以 通过 从 TFTP 服务 器 上 下 载 配置 文件 来 配置 Cisco 设备 。 
当然 ,前 提 是 要 配置 的 设备 必须 有 一 些 基本 配置 ,能 在 网 络 中 工作 。 

作为 网 络 管理 人 员 ,要 配置 Cisco 的 网 络 设备 ,通常 采用 下 述 方式 : 对 于 刚 买 的 设备 
(没有 任何 配置 ) ,通过 控制 台 端 口 来 配置 ;对 该 设备 进行 完成 基本 配置 后 ,该 设备 已 经 能 
够 在 网 络 中 工作 了 。 要 进行 更 深入 的 Telnet 配置 ,可 采用 Telnet 或 其 他 远程 配置 方式 来 
配置 。 


3. 用 户 模式 和 特权 模式 


要 配置 Cisco 路 由 器 ,必须 首先 登录 到 该 路 由 器 ,之 后 才能 输入 命令 。 登 录 可 以 是 远 
程 登 录 的 ,或 是 通过 一 个 终端 使 用 路 由 器 的 用 户 界面 来 登录 。 

出 于 安全 的 考虑 ,路 由 器 有 两 级 的 命令 访问 控制 : 用 户 模 式 和 特权 模式 。 

特权 模式 的 提示 符 是 :“ 路 由 器 名 称 十 英镑 符号 (#)”, 由 此 可 以 确定 用 户 处 于 
特权 Exec 模式 。 在 这 个 级 别 上 ,用 户 可 以 完全 访问 路 由 器 。 在 特权 Exec 模式 中 ,可 
使 用 所 有 的 命令 ,包括 在 用 户 Exec 模式 中 使 用 的 基本 的 故障 排除 和 状态 检查 命令 ， 
以 及 修改 路 由 器 配置 的 命令 ,执行 可 能 破坏 网 络 的 测试 ,重新 启动 路 由 器 和 查看 配 
置 文件 。 

要 退出 特权 Exec 模式 并 回 到 用 户 Exec 模式 ,可 使 用 命令 disable, 

K 1-1 列 出 了 进入 和 退出 用 户 模式 与 特权 模式 的 命令 。 
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表 1-1 进入 和 退出 用 户 模式 与 特权 模式 的 命令 列表 


ir s 说 | 
Router>enable 用 户 模式 下 的 命令 ,用 于 进入 特权 模式 ,可 以 简写 为 en 
Router>exit(logout, quit) 从 用 户 模 式 退 回 到 Exec 模式 
Router # disable 从 特权 模式 退回 到 用 户 模式 
Router # exit logout. quit) 从 特权 模式 退回 到 Exec 模式 


注意 表 1-1 中 的 exit. logout 和 quit MS. exit 用 于 从 下 一 级 子 菜单 返回 到 上 一 级 
子 菜 单 , 在 其 他 模式 也 是 可 用 的 ;logout 和 quit 命令 ,只 用 在 用 户 模 式 或 特权 模式 。 为 学 
习 方 便 , 本 书 在 讲 命令 时 ,命令 前 的 提示 符 也 一 并 列 出 。 

另外 ,特权 模式 也 是 进入 其 他 模式 的 基础 ,也 就 是 说 ,必须 先进 入 特权 模式 ,才能 进入 
路 由 器 的 其 他 模式 。 


4. 其 他 配置 模式 
从 特权 模式 可 以 进入 全 局 配置 模式 (Global Configuration) ,在 全 局 配置 模式 下 可 以 


进一步 访问 其 他 特殊 的 模式 。 
从 特权 模式 进入 全 局 配置 模式 的 命令 为 : 


(提示 符 Routerb# 下 ) config terminal 
全 局 配置 模式 的 提示 符 为 : 
Routerb( config)# 


在 全 局 配置 模式 下 可 以 进入 其 他 特殊 模式 ,如 接口 模式 、 子 接口 模式 和 链 路 模式 。 其 
中 , 链 路 模式 有 如 下 两 种 情况 : 

CD 用 于 配置 控制 台 端口 的 参数 

进入 链 路 模式 的 命令 为 : 

Router (config) # line console 0 

它 的 提示 符 为 : 

Router (Config- line)# 

(2) 用 于 Telnet 进行 远程 登录 

路 由 器 有 5 条 VTY(Virtual Teletypes-terminals, 虚 拟 远 程 终端 ) 链 路 (0 一 4) ,路 由 
器 允许 存在 并 发 的 远程 登录 连接 ,也 就 是 说 ,可 以 同时 有 5 个 Telnet 会 话 连接 到 路 由 器 。 
可 以 配置 VTY 的 一 条 链 路 ,或 者 一 次 对 这 5 条 链 路 同时 配置 。 由 于 一 个 Telnet 会 话 会 
随机 选用 一 条 VTY ,所 以 一 般 会 对 5 条 链 路 同时 配置 。 

进入 链 路 模式 的 命令 为 : 


Routerb (config)# line vty 第 一 条 VIY 的 编号 ”最 后 一 条 VIY 的 编号 
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例如 : 


Routerb (config)# line vty 04 


5. 路 由 器 的 Setup 模式 


Setup 模式 是 路 由 器 的 一 种 特殊 模式 ,其 主要 目的 是 为 那些 找 不 到 配置 的 路 由 器 提 
供 最 小 化 配置 。 在 Setup 模式 中 可 以 完成 大 部 分 的 路 由 器 配置 ,当然 ,这 些 配 置 也 可 以 通 
过 输入 相应 的 命令 来 完成 。 当 第 一 次 启动 路 由 器 (路 由 器 没有 进行 任何 配置 时 ) 时 ,就 会 
自动 进入 Setup 模式 ,也 可 以 在 特权 模式 下 输入 “Setup” 进 入 该 模式 。 

路 由 器 没有 任何 默认 配置 , 当 把 配置 文件 删除 时 ,就 会 进入 Setup 模式 。 交 换 机 则 不 
T] ,交换机 有 一 个 出 厂 的 默认 配置 , 当 把 交换 机 的 配置 文件 删除 时 ,就 会 返回 默认 配置 。 


6. 配置 路 由 器 的 简单 命令 


O show: 用 于 查看 路 由 器 的 状态 .其 功能 和 交换 机 中 的 类 似 。 

© show version; 显示 路 由 器 的 硬件 配置 .软件 版 本 和 IOS 文件 名 等 信息 。 

@ show running-config: 显示 当前 RAM 中 的 信息 。 

@ show startup-config: 显示 NVRAM 的 信息 。 

任何 当前 的 配置 都 存储 在 RAM 中 。 如 果 不 保存 ,重新 启动 路 由 器 时 ,以 前 的 配置 就 
会 丢失 。 如 果 使 用 保存 命令 ,会 把 当前 的 配置 保存 到 NVRAM 里 , 断 电 时 就 不 会 丢失 。 
同样 ,也 可 以 把 NVRAM 里 的 配置 信息 复制 到 RAM 中 来 。Setup 模式 的 配置 会 同时 写 
入 到 RAM fll NVRAM 中 ,相关 命令 如 表 1-2 所 示 。 


# 1-2 RAM 5 NVRAM 互相 写 入 的 命令 


we S 说 明 
Router # copy running-config startup-config 把 配置 信息 从 RAM S A Si] NVRAM 
Router # copy startup-config running-config 把 配置 信息 从 NVRAM S A S] RAM 
Router # write erase 清空 NVRAM 的 配置 ,重启 后 进入 Setup 模式 
7. 配置 密码 


由 于 路 由 器 是 关键 的 网 络 设备 ,因此 其 安全 性 是 很 重要 的 问题 。 密 码 是 防止 非法 访 
问 的 一 种 常用 方法 。 密 码 的 应 用 有 很 多 种 ,在 这 里 主要 介绍 进入 特权 模式 密码 ,控制 台 端 
口 管理 密码 和 Telnet 密码 。 

CD 特权 模式 密码 

我 们 知道 ,从 用 户 模式 进入 特权 模式 要 输入 密码 ,这 个 密码 通过 表 1-3 中 的 命令 来 
配置 。 
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表 1-3 特权 模式 密码 的 配置 命令 


für 4 说 明 
Router(config) # enable password 密码 字符 串 配置 明文 密码 (password 密码 ) 
Router(config) # enable secret 密码 字符 串 配置 密 文 密码 (secret 密码 ) 


注意 : password 和 secret 密码 都 是 用 于 进入 特权 模式 的 密码 。password 密码 没有 
secret 密码 安全 ,因为 使 用 show running-config 命令 查看 配置 时 ,password 密码 会 以 明 
文 形式 显示 出 来 , 而 secret 密码 则 显示 为 乱码 。 另 外 ,如 果 password 和 secret 密码 都 配 
置 且 两 者 不 相同 (系统 不 允许 相同 ) ,会 以 secret 密码 为 准 。 

(2) 控制 台 端 口 管理 密码 

该 密码 用 于 控制 通过 控制 台 端 口 访问 的 路 由 器 ,也 就 是 说 ,用 户 必 须 输入 控制 台 端口 
管理 密码 ,才能 通过 控制 台 端 口 访问 路 由 器 。 

配置 控制 台 端口 管理 密码 的 步骤 如 下 : 

D 在 全 局 配置 模式 下 ( 即 在 “Router(config) =” F) #7 A "line consol 0”, 然 后 按 
Enter 键 。 该 命令 用 于 进入 配置 控制 台 端 口 参数 的 链 路 模式 。 

© 在 提示 符 “Router(config-line)#” 下 输入 “login”, 然 后 按 Enter 键 。 

图 在 提示 符 “Router (config-line) # ” F fii A “password 密码 字符 串 ”, 然 后 按 
Enter 键 。 

(3) Telnet 密码 

还 有 一 种 密码 称 为 VTY 密码 。VTY 密码 主要 用 于 控制 Telnet 的 访问 , 若 希 望 通过 
Telnet 来 远程 访问 路 由 器 ,必须 输入 此 密码 。 

VTY 密码 的 配置 步骤 如 下 : 

(D 在 提示 符 “Router(config)#” 下 输入 “line vty 0 4”, 然 后 按 Enter 键 。 注 意 , 由 于 
Telnet 会 随即 选择 一 条 V TY ,所 以 要 对 全 部 的 5 条 VTY 都 进行 配置 。 

© 在 提示 符 “Router(Cconfig-line) 并 ”下 输入 "login”, 然 后 按 Enter 键 。 

© 在 提示 符 “Router(config-line) # ”下 输入 “password 密码 字符 串 ”, 然 后 按 Enter f£, 


8. 配置 文件 的 管理 


路 由 器 的 RAM 类 似 PC 上 的 内 存 , 当 前 的 配置 都 存储 在 RAM 中 。 如 果 不 保存 ,路 
由 器 重新 启动 后 ,RAM 的 内 容 就 会 丢失 ,因此 需要 把 RAM 中 的 内 容 保存 到 NVRAM 
中 ,NVRAW 的 内 容 在 路 由 器 重新 启动 时 不 会 丢失 。 

通过 控制 台 端 口 配 置 的 信息 都 存储 在 RAM 中 。Setup 模式 中 的 配置 信息 既 写 入 到 
RAM 中 ,又 写 人 到 NVRAM 中 。RAM 和 NVRAM 的 内 容 可 以 相互 修改 ,其 相关 命令 
见 表 1-4。 
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表 1-4 RAM 和 NVRAM 的 相关 命令 


命 = 说 明 
Router # show running-config 查看 RAM 中 的 配置 信息 
Router # show startup-config 查看 NVRAM 中 的 配置 信息 


把 RAM 中 的 信息 保存 到 NVRAM(2600 系列 路 由 
器 也 可 用 write 命令 ) 


Router # copy start-config running-config 把 NVRAM 信息 调和 人 RAM 中 
Router # write erase 清空 NVRAM, 路 由 器 重启 后 进入 Setup 模式 


Router # copy running-config startup-config 


9. 配置 接口 的 状态 


当 使 用 show 命令 查看 接口 时 ,会 看 到 有 这 样 的 显示 :“Ethernet 0/0 is up, line 
protocol is up", “Ethernet 0/0 is X xX” 代表 硬件 接口 , 即 物 理 层 连接 是 否 正 常 。“1line 
protocol isX X x ”代表 数据 链 路 层 连 接 是 否 正常 。 一 共有 以 下 4 种 情况 ， 

(D Ethernet 0/0 is up, line protocol is up: 表明 物理 层 和 数据 链 路 层 连接 都 正常 。 

Q) Ethernet 0/0 is up.line protocol is down; 表明 物理 层 连接 虽然 正常 ,但 数据 链 路 
层 连 接 错 误 。 

@) Ethernet 0/0 is down.line protocol is down: 表明 物理 层 连接 错误 ,导致 数据 链 
路 层 连接 措 错误 (物理 层 连接 错误 , 则 数据 链 路 层 连接 一 定 错误 ), 从 而 接口 不 能 转发 
数据 。 

(D Ethernet 0/0 is administratively, line protocol is down: 表明 管理 员 手 动 关闭 了 
某 个 接口 ,导致 该 接口 不 能 转发 数据 。 用 于 关闭 和 启用 某 个 接口 的 命令 见 表 1-5。 


表 1-5 关闭 和 启用 某 个 接口 


命 4 说 明 
Router(config-if) # shutdown 关闭 某 个 接口 
Router(config-if) # no shutdown 重新 启用 某 个 接口 


任务 12 连接 网 络 设备 


本 任务 主要 以 交换 机 为 例 来 介绍 设备 的 连接 方法 。 


1.2.1 如 何 启 动 网 络 设备 ? 


1. 加 电 前 的 安装 与 检查 
在 给 交换 机 加 电 之 前 ,应 对 交换 机 的 安装 做 必要 的 检查 ,以 确保 如 下 事项 : 
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D 交换 机 已 安放 牢固 。 

O 如 果 配 有 接口 模块 , 需 确认 此 模块 已 被 正确 安装 。 

© 所 有 通信 电缆 和 光缆 连接 正确 。 

CD 电源 线 和 地 线 连接 正确 , 且 供 电 电 压 与 交换 机 的 要 求 一 致 。 
C) 配置 电缆 连接 正确 ,终端 控制 台 已 经 打开 并 设置 完毕 。 

© 供电 电压 与 交换 机 的 要 求 一 致 


2. 交换 机 加 电 


在 严格 按照 以 上 第 一 步 的 要 求 步骤 完成 交换 机 的 安装 和 检查 之 后 ,就 可 以 给 交换 机 
加 电 了 。 加 电 的 顺序 应 该 是 首先 打开 供电 电源 的 开关 ,然后 打开 交换 机 的 电源 开关 。 


3. 加 电 后 交换 机 各 指示 灯 状 态 


给 交换 机 加 电 后 ,交换 机 前 面板 上 的 LED 状态 指示 灯 将 出 现 如 下 反应 : 

CD 交换 机 刚刚 加 电 时 ,POWER 和 SYSTEM 指示 灯 点 亮 ,所 有 端口 的 LED 指示 灯 
快速 闪 亮 ,表示 系统 正在 进行 复位 。 

@ 交换 机 完成 自 检 并 成 功 加 载 系 统 软 件 后 进入 正常 工作 状态 ,此 时 SYSTEM 指示 
灯 闪 烁 ;对 于 已 有 可 靠 连 接 的 接口 ,其 LINK 指示 灯 长 亮 。 当 接口 有 数据 收发 时 ,ACT 指 
示 灯 闪烁 或 长 亮 ; 当 没有 数据 收发 时 ,ACT 指示 灯 为 暗 。 

© 如 果 加 电 之 前 Console 口上 连接 了 PC, 已 经 正确 配置 并 启动 了 超级 终端 软件 , 则 
在 系统 通电 后 ,屏幕 上 将 出 现 公司 名 称 .产品 序列 号 及 软 、 硬 件 版 本 等 产品 信息 ,并 在 自 检 
完成 后 出 现 操 作 提示 。 按 Enter 键 进入 系统 登录 状态 ,输入 用 户 名 称 和 相应 的 密码 后 进 
和 人 交换 机 的 用 户 配置 模式 ,进行 相应 的 操作 。 


1.2.2 配置 网 络 设备 的 途径 有 哪些 ? 


可 采用 如 下 三 种 方法 实现 对 交换 机 的 配置 管理 : 
CD 通过 串口 控制 台 配置 交换 机 ， 

© 通过 Telnet 配置 交换 机 ; 

@ 通过 SNMP 管理 交换 机 。 


1. 通过 串口 控制 台 配 置 交换 机 


配置 终端 可 以 是 一 台 PC ,利用 一 条 配置 电缆 ,将 其 一 端的 DB9 接头 与 PC 的 一 个 串 
口 连接 ,将 另 一 端的 RJ-45 接头 与 交换 机 的 Console 口 连 接 。 


2. 通过 Telnet 配置 交换 机 


通过 Telnet 可 实现 对 交换 机 的 远程 配置 管理 。 在 使 用 Telnet 前 ,需要 首先 通过 控制 
台 端 口 配置 交换 机 的 IP 地 址 和 子 网 掩 码 。 实 现 Telnet 配置 交换 机 的 网 络 连接 图 如 
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图 1-1 所 示 , 其 中 , PCT 通过 局 域 网 与 交换 机 相 
连 ;PC2 作为 终端 控制 台 通过 配置 电缆 连接 到 交 


换 机 的 Console F1 ,用 以 配置 交换 机 的 TP 地 址 。 EKER nm 

例如 ,此 时 PCI 的 IP 地 址 为 192. 168. 0. 3/ E 
24, 若 想 通过 PCI 以 Telnet 方式 管理 交换 机 ,请 局 域 网 
按照 以 下 步骤 进行 配置 。 oO = 

步骤 1: 为 交换 机 配置 TP 地 址 。 | : 

PC2 通过 配置 电缆 与 交换 机 的 Console 口 连 = PCOS BE 
接 ,然后 在 PC2 终端 控制 台 上 使 用 以 下 命令 配置 mpg 实现 Telnet 配置 交换 机 的 
交换 机 的 IP 地 址 ( 设 地 址 为 192. 168. 0. 1/24): 网 络 连接 图 


Switch (config)# interface vlan default 

Switch (config- vlan- default)# ip address 192.168.0.1/24 

TEX. 交换 机 的 IP 地 址 一 定 与 PC1 的 IP 地 址 在 同一 网 段 (本 例 中 ,PC1 89 IP 地 址 
为 192. 168. 0. 0/24) 。 

步骤 2: 使 能 Telnet 服务 。 

在 出 厂 默认 状态 下 ,交换 机 的 Telnet 服务 功能 是 打开 的 ,如 果 你 已 经 关闭 了 该 服务 
功能 ,请 用 以 下 命令 使 能 Telnet 服务 ; 


Switch (config) # service telnet enable 


步骤 3: 利用 Telnet 登录 交换 机 。 
在 PC1 上 运行 Telnet 程序 ,输入 命令 “telnet 192. 168. 0. 3”, 单 击 “ 确 定 ”" 按 钮 后 进入 
登录 页 面 ,输入 正确 的 用 户 名 和 密码 后 即 可 实现 对 交换 机 的 配置 管理 。 


3. 通过 SNMP 管理 交换 机 


如 果 交 换 机 支持 使 用 SNMP 协议 管理 ,用户 必须 先 在 用 于 管理 交换 机 的 PC 上 安装 
网 管 软件 (该 网 管 软件 可 以 从 供应 商 或 者 代理 商 处 获得 )。 组 网 方法 如 图 1-1 所 示 ,操作 
方法 步骤 如 下 : 

步骤 1: 通过 PC2 配置 default vlan AY IP 地 址 。 


Switch (config) # interface vlan default 
Switch (config- vlan- default) # ip address 192.168.0.1/24 


步 又 2: 打开 SNMP 服务 功能 。 在 交换 机 的 出 三 默认 状态 下 ,SNMP 服务 功能 是 关 
闭 的 ,请 用 以 下 命令 打开 该 服务 功能 : 


Switch (config)# service snmp enable 


步骤 3: 启动 网 管 软件 ,登录 交换 机 。 在 启动 了 网 管 软件 之 后 ,首先 要 进行 用 户 登 录 ， 
用 户 登 录 成 功 后 可 以 配置 设备 。 
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任务 13 PP 地址 分 配 及 PP 子 网 划分 


对 于 网 络 管理 来 讲 ,IP 地 址 都 是 一 个 十 分 重要 的 概念 ,Internet 的 许多 服务 和 特点 都 
是 由 TP 地 址 体现 出 来 的 ,而 TP 地 址 和 子 网 掩 码 的 设置 ,更 是 从 事 网 络 工 作 的 人 必须 具备 
的 网 络 基础 知识 ,只 有 理解 了 TP 地 址 和子 网 掩 码 的 真正 含义 ,才能 得 心 应 手 地 管理 一 个 
网 络 。 我 们 要 想 理解 IP 地 址 的 真正 应 用 ,首先 要 了 解 TP 地 址 与 子 网 掩 码 的 常识 。 


1.3.1 IP 地 址 概述 


在 网 络 中 ,我 们 需要 唯一 地 标识 Internet 上 的 每 一 个 设备 ,以 确保 所 有 设备 全 球 通 
和信。 这 好 像 在 电话 系统 中 ,每 一 个 电话 用 户 都 有 唯一 的 电话 号 码 一 样 ( 如 果 我 们 把 国家 码 
和 地 区 码 都 看 成 是 这 个 标志 系统 的 一 部 分 ) 。 

Internet 协议 地 址 (简称 IP 地 址 ) 对 网 上 某 个 节点 来 说 是 一 个 逻辑 地 址 ,IP 是 唯一 
的 。 地 址 唯一 是 指 每 一 个 地 址 定义 了 一 个 且 仅 有 一 个 到 Internet 的 连接 。 在 Internet 上 
的 两 个 设备 永远 不 会 有 相同 的 地 址 。 但 是 ,如 果 一 个 设备 通过 两 个 网 络 与 Internet 相连 ， 
那么 这 个 设备 就 有 两 个 IP 地 址 。 


1. 地 址 空间 


IP 协议 定义 的 地 址 具有 地 址 空间 。 地 址 空间 就 是 协议 所 使 用 的 地 址 总 数 。 如 果 协 
议 使 用 ”位 来 定义 地 址 ,那么 地 址 空间 就 是 2 ,因为 每 一 位 可 以 有 两 种 不 同 的 值 
(1 或 0)。 

现在 采用 的 IP 协议 版 本 为 IPv4, 它 使 用 32 位 地 址 ,这 表示 地 址 空间 是 22 ,或 
4294967296( 超 过 40 亿 )。 这 就 表明 ,从 理论 上 讲 ,可 以 有 超过 40 亿 个 设备 连接 到 
Internet。 但 实际 的 数字 要 远 小 于 这 个 数值 。 


2. IP 地 址 的 表示 方法 


IP 地 址 有 三 种 常用 的 表示 方法 , 即 二 进 制 表示 法 、 点 分 十 进 制 表示 法 和 十 六 进 制 表 
示 法 。 
(1) 二 进 制 表示 法 
在 二 进 制 表示 法 中 ,IP 地 址 表现 为 32 位 。 为 了 使 这 个 地 址 有 更 好 的 可 读 性 ,通常 在 
每 个 字 节 (8 位 ) 之 间 加 上 一 个 或 多 个 空格 。 这 样 ,有 时 就 会 听 到 说 : IP 地 址 是 32 位 地 
址 .4 个 八 位 组 地 址 ,或 者 4 字 节 地 址 。 下 面 是 二 进 制 IP 地 址 的 示例 : 

01110101 10010101 00011101 11101010 

(2) 点 分 十 进 制 表示 法 

为 了 使 32 位 地 址 更 加 简洁 和 更 容易 阅读 .Internet 的 地 址 通常 写成 小 数 点 将 各 字 节 
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分 隔 开 的 形式 。 如 图 1-2 所 示 为 用 点 分 十 进 制 10000000 00001011 00000011 00011111 
表示 的 IP 地 址 。 应 当 注 意 到 ,因为 每 个 字 节 仅 
有 8 位 ,因此 在 用 点 分 十 进 制 表 示 法 表示 的 IP 
地 址 中 ,每 个 点 分 十 进 制 数 一 定 在 0 一 255 。 128.11.3.31 

CD 十 六 进 制 表示 法 图 1-2 用 点 分 十 进 制 表示 的 TP 地 址 

有 时 我 们 会 见 到 用 十 六 进 制 数 表示 的 IP 
地 址 。 每 一 个 十 六 进 制 数 等 价 于 四 个 4 位 。 这 就 是 说 ,一 个 32 位 的 地 址 要 用 8 个 十 六 进 
制 数字 来 表示 。 这 种 表示 方法 常用 于 网 络 编程 中 。 例 如 ,10000001 00001011 00001011 
11100111 表示 成 十 六 进 制 数 为 0x819BOBEF 。 


3. IP 地 址 的 分 类 


在 最 初 设计 互联 网 时 ,为 了 便于 寻 址 以 及 层次 化 构造 网 络 ,每 个 IP 地 址 包括 两 部 分 ， 
即 网 络 号 (Network ID) 和 主机 号 (Host ID)。 同 一 个 物理 网 络 上 的 所 有 主机 都 使 用 同一 
个 网 络 号 ,网 络 上 的 一 个 主机 有 一 个 主机 号 与 其 对 应 。 

IP 地 址 可 分 成 五 类 , 即 A 类 .B 类 CC 类 .D 类 和 下 类 。E 类 一 般 用 于 实验 组 网 ,日 常 组 
网 中 极 少 用 到 ,在 此 不 做 详细 描述 。 五 类 地 址 的 组 成 结构 如 图 1-3 所 示 。 每 一 类 TP 地 址 占 
据 整 个 地 址 空间 的 某 一 部 分 。 图 1-4 给 出 了 每 一 类 IP 地 址 的 空间 占用 情况 (近似 的 )。 

从 图 1-4 可 以 看 出 ,A 类 地 址 占据 了 整个 地 址 空间 的 一 半 , 这 是 设计 中 的 缺陷 。B 类 
地 址 占据 了 整个 地 址 空间 的 1/4, 这 也 是 一 个 缺陷 。C 类 地 址 占据 地 址 空间 的 1/8 ,而 D 
类 和 类 地 址 各 占据 地 址 空间 的 1/16。 表 1-6 给 出 了 每 一 类 IP 地 址 的 数量 。 


1 8 9 16 17 24 25 32 
A 类 | ONNNNNN 主机 主机 主机 
(1-127) 
1 16 17 24 25 32 
B 类 | IONNNNNN 网 络 主机 主机 
(128~191) 
1 89 16 17 24 25 32 
C 类 | 110NNNNN 网 络 网 络 主机 
(192-223) 
1 8 9 16 17 24 25 32 
DÆ |1110MMMM | 多 播 组 多 播 组 多 播 组 
(224~239) 
图 1-3 ”IP 地址 分 类 图 1-4 地 址 空间 占用 情况 
表 1-6 每 一 类 IP 地址 的 数量 及 占 地 址 空间 的 比例 
类 别 地 址 数量 占 地 址 空间 的 比例 /% 
A 23 —2147483648 50 
B 2? — 1073741824 25 
c 22 —536870912 12.5 
D 2*5 —268435456 6.25 
E 2*5 —268435456 6.25 
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如 图 1-3 所 示 ,A 类 地 址 的 最 高 位 0 和 随后 的 7 位 是 网 络 号 部 分 , 剩 下 的 24 位 表示 
网 内 主机 号 。 在 一 个 互联 网 内 可 能 会 有 126 个 A 类 网 络 (网 络 号 1 一 126 ,号 码 0 和 127 
保留 ) ,而 每 一 个 A 类 网 络 中 允许 有 1600 万 个 节点 。 对 于 非常 大 的 地 区 网 ,如 美国 的 
MLNET 和 某 些 很 大 的 商业 网 ,才能 使 用 A 类 地 址 。 

B 类 地 址 的 最 高 两 位 10 和 随后 的 14 位 是 网 络 号 部 分 , 剩 下 的 16 位 表示 网 内 的 主机 
号 。 这 样 ,在 某 种 互联 环境 下 可 能 有 大 约 16000 个 B 类 网 络 ,每 个 BB 类 网 络 中 可 以 有 
65000 多 个 节点 。 一 般 大 单位 和 大 公司 营建 的 网 络 使 用 B 类 地 址 。 

C 类 地 址 的 最 高 位 110 和 随后 的 21 位 是 网 络 号 部 分 , 剩 下 的 8 位 表示 网 内 主机 号 。 
这 样 ,一 个 互联 网 将 允许 包含 200 万 个 C 类 网 络 , 每 一 个 C 类 网 络 中 最 多 可 以 有 254 个 
节点 。 较 小 的 单位 和 公司 都 使 用 C 类 地 址 。 

D 类 地 址 的 最 高 4 位 为 1110, 表 示 多 播 地 址 , 即 一 个 多 播 组 的 组 号 。 

如 果 用 户 不 喜欢 使 用 二 进 制 ,也 可 以 按照 IP 地 址 第 一 字 节 值 的 十 进 制 表 示 划 分 四 类 
网 络 。A 类 地 址 以 1—127 开始 ,B 类 地 址 以 128—191 开始 ,C 类 地 址 以 192—223 开始 ， 
D 类 地 址 以 224~239 开始 。 


4. MAB MR 


WK KET FE — 4 32 位 数 。 当 用 掩 码 和 地 址 段 中 的 一 个 地 址 按 位 相 “ 与 "(AND) 时 ， 
就 可 得 出 该 地 址 段 的 第 一 个 地 址 (网 络 地 址 )。 

在 网 络 掩 码 中 ,二 进 制 值 为 1 的 位 代表 网 络 位 ,二 进 制 值 为 0 的 位 代表 主机 位 。 

A,B,C 三 类 地 址 中 的 默认 子 网 掩 码 见 表 1-7。 


KIT 默认 子 网 掩 码 


用 二 进 制 值 表示 的 掩 码 用 点 分 十 进 制 值 表示 的 掩 码 

A 11111111 00000000 00000000 00000000 255.0.0.0 

11111111 11111111 00000000 00000000 255. 255. 0. 0 
C 11111111 11111111 11111111 00000000 255, 255. 255. 0 
5. 特殊 地 址 
A 类 .B 类 和 C 类 地 址 中 的 某 部 分 空间 可 用 作 特 殊 的 地 址 ( 见 表 1-8). 

表 1-8 特殊 地 址 
特殊 地 址 网 络 位 主机 位 源 地 址 或 目的 地 址 

网 络 地 址 特写 的 全 0 都 不 是 
直接 广播 地 址 特写 的 41 目的 地 址 
受 限 广播 地 址 全 1 全 1 目的 地 址 
环 回 地址 127 任意 目的 地 址 
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CD 网 络 地 址 

A,B,C 类 地 址 中 的 第 一 组 定义 了 该 主机 所 在 的 网 络 地 址 。 例 如 ,主机 123. 50. 16. 90 
所 在 的 网 络 地 址 为 123. 0. 0.0;150. 48. 0. 1 所 在 的 网 络 地 址 为 150. 0. 0. 0。 

(2) 直接 广播 地 址 

在 A,B,C 类 地 址 中 , 若 主机 位 是 全 1, 则 该 地 址 称 为 直接 广播 地 址 。 路 由 器 使 用 这 
种 地 址 把 一 个 数据 包 发 送 到 特定 网 络 上 的 所 有 主机 。 所 有 的 主机 都 会 收 到 具有 这 种 类 型 
目的 地 址 的 数据 包 。 这 个 地 址 在 IP 数据 包 中 只 能 用 作 目 的 地 址 。 这 个 特殊 的 地 址 使 用 
相应 减少 了 A 类 、B 类 和 C 类 地 址 中 每 一 个 网 络 中 的 可 用 主机 数 。 

例如 ,路 由 器 发 送 数据 包 , 其 目的 地 址 为 221. 45. 71. 255 ,而 该 网 络 内 采用 默认 的 子 
WENI 255. 255. 255. 0 分 配 TP 地 址 , 则 该 网 络 上 以 221. 45. 71 开头 的 所 有 设备 都 接收 和 
处 理 这 个 数据 包 。 

(3) 受 限 广播 地 址 

在 A,B,C 类 地 址 中 , 若 网 络 位 和 主机 位 都 是 全 1(32 位 ), 即 255. 255. 255. 255, 则 该 
地 址 用 于 定义 在 当前 网 络 上 的 广播 地 址 。 一 个 主机 车 想 把 报 文 发 送 给 所 有 其 他 主机 ,就 
可 使 用 这 样 的 地 址 作为 数据 包 中 的 目的 地 址 。 但 路 由 器 把 具有 这 种 类 型 地 址 的 数据 包 阻 
挡住 ,使 这 样 的 广播 只 局 限 在 本 地 网 络 。 应 注意 ,这 种 地 址 属于 下 类 。 

例如 ,主机 可 以 发 送 使 用 全 1 目的 TP 地 址 的 数据 包 , 在 该 网 络 上 的 所 有 设备 都 能 接 
收 和 处 理 这 个 数据 包 。 

(4) 回环 地 址 

第 一 个 字 节 等 于 127 的 TP 地 址 用 作 环 回 地 址 ,该 地 址 用 来 测试 机 器 的 TCP/IP 协议 
是 否 安装 正常 。 当 使 用 这 个 地 址 时 ,数据 包 默 认 将 本 机 地 址 作为 目的 地 址 。 因 此 ,该 地 址 
可 用 于 测试 IP 软件 。 例 如 , 像 *Ping” 这 样 的 应 用 ,可 以 发 送 把 环 回 地 址 作为 目的 地 址 的 
数据 包 , 以 便 测试 IP 软件 能 否 接 收 和 处 理 数 据 包 。 另 一 个 示例 是 客户 进程 (运行 着 的 程 
序 ) 用 环 回 地 址 发 送 数据 包 给 相同 机 器 上 的 服务 器 进程 。 应 该 注意 ,这 种 地 址 在 数据 包 中 
只 能 用 作 目 的 地 址 。 


6. 专用 地 址 


在 每 一 类 地 址 中 都 有 一 些 段 被 指派 作为 专用 地 址 。 这 些 地 址 或 者 用 在 隔离 的 情况 
下 ,或 者 用 在 网 络 地 址 转换 技术 中 , 见 表 1-9。 


表 1-9 专用 地 址 分 配 表 


类 网 络 位 网 络 总 数 
A 10.0.0 1 
B 172. 16—172. 31 16 
C 192. 168. 0 一 192. 168. 255 256 


7. 单 播 . 多 播 和 广播 地 址 
Internet 上 的 通信 可 用 单 播 、 多 播 和 广播 地 址 来 完成 。 
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单 播 通信 是 一 对 一 的 ,是 从 单个 源 端 将 数据 包 发 送 到 单个 的 目的 端 。 在 Internet 上 
的 所 有 系统 必须 至 少 有 一 个 唯一 的 单 播 地 址 。 单 播 地 址 可 以 是 A 类 、B 类 或 C 类 的 。 

(2) 多 播 地 址 

多 播 又 称 组 播 。 多 播 通信 是 一 对 多 的 ,是 从 单个 源 端 把 数据 包 发 送 到 一 组 目的 端 。 
多 播 地 址 是 D 类 的 。 它 定义 了 一 个 组 号 。 在 Internet 上 的 系统 可 以 有 一 个 或 多 个 D 类 
多 播 地 址 (除了 它 的 一 个 或 多 个 单 播 地 址 外 )。 如 果 某 个 系统 (通常 是 主机 ) 有 7 个 多 播 地 
址 ,表示 它 属 于 7 个 不 同 的 组 。 应 该 注意 ,D 类 地 址 只 能 用 作 目 的 地 址 ,不 能 用 作 源 地 址 。 

Internet 上 的 多 播 可 以 是 本 地 级 的 ,也 可 以 是 全 局 级 的 。 在 本 地 级 ,局域网 上 的 一 些 
主机 可 构成 一 个 组 ,并 被 指派 一 个 多 播 地 址 。 在 全 局 级 ,不 同 网 络 上 的 一 些 主机 可 构成 
一 个 组 ,并 被 指派 一 个 多 播 地 址 。 

(3) 广播 地 址 

广播 通信 是 一 对 所 有 的 。Internet 只 允许 进行 本 地 级 广播 。 在 本 地 级 使 用 两 个 广播 
地 址 , 即 受 限 广播 地 址 (全 1) 和 直接 广播 地 址 (主机 位 全 1) 。 

广播 不 允许 在 全 局 级 进行 ,这 表示 一 个 系统 (主机 或 路 由 器 ) 不 能 向 Internet 上 的 所 
有 主机 或 路 由 器 发 送 数据 包 。 


1.3.2 子 网 划分 


IP 地 址 被 设计 成 两 级 层次 结构 , 即 网 络 地 址 和 主机 地 址 。 然 而 在 很 多 情况 下 ,这 两 
级 层次 结构 不 够 用 。 例 如 ,有 一 个 机 构 的 网 络 地 址 是 141. 14. 0. 0(B 类 地 址 ) 。 这 个 机 构 
有 两 级 层次 结构 的 编 址 ,如 图 1-5 Bros ,该 机 构 拥 有 的 物理 网 络 数 却 不 能 大 于 1。 应 当 注 
意 ,默认 子 网 掩 码 (255. 255. 0. 0) 表 示 所 有 地 址 都 有 16 位 是 相同 的 , 剩 下 的 位 定义 网 络 上 
的 不 同 地 址 。 还 应 当 注意 ,网 络 地 址 是 这 个 地 址 段 的 第 一 个 地 址 ;在 网 络 地 址 中 ,主机 部 
分 是 全 0。 


141.14.0.1 141.14.0.2 141.14.192.2 141.14.255.253 141.14.255.254 


skk = = ERES 


= 


3 


图 1-5 网 络 地 址 的 两 级 层次 结构 


按照 上 述 方案 ,受到 两 级 层次 结构 的 限制 ,众多 的 主机 不 能 再 划分 为 组 ,所 有 的 主机 
都 在 同一 个 层次 上 , 则 该 机 构 只 有 一 个 拥有 很 多 主机 的 网 络 。 
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对 这 个 问题 的 一 种 解决 方法 是 划分 子 网 , 即 把 一 个 网 络 划分 为 一 些 更 小 的 网 络 , 称 为 
子 网 。 例 如 ,把 图 1-5 所 示 的 网 络 再 划分 为 3 个 子 网 ,如 图 1-6 所 示 。 
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| : 

| 

|| 

上 

| 
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I 

|| 

|| 

I 
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图 1-6 子 网 划分 


在 以 上 示例 中 ,Internet 的 其 余部 分 不 知道 该 网 络 已 划分 为 三 个 物理 子 网 ,这 三 个 子 
网 对 Internet 的 其 余部 分 来 说 仍然 是 一 个 网 络 。 发 送 给 主机 141. 14. 192. 2 的 数据 仍 到 
达 路 由 器 R1。 当 数据 到 达 RI 后 ,对 IP 地 址 的 解释 却 改 变 了 。 路 由 器 RI 知道 网 络 
141. 14.0.0 在 物理 上 已 成 为 三 个 子 网 , 它 知 道 数据 必须 交付 给 子 网 141. 14. 192. 0。 


1. 三 级 层次 结构 
增加 子 网 就 是 在 TP 地 址 系统 中 产生 一 个 中 间 级 的 层次 。 本 例 中 有 三 级 , 即 主 网 、 子 
网 和 主机 。 主 网 是 第 一 级 , 子 网 是 第 二 级 ,主机 是 第 三 级 。 那 么 ,IP 数据 包 寻 址 要 经 过 主 


网 、 子 网 ,最 后 到 达 主 机 。 这 好 像 公司 的 电话 号 码 , 分 为 地 区 号 、 总 机 号 和 分 机 号 三 级 ,如 
0533-2886688-6001。 


2. FARE 


当 网 络 没有 划分 子 网 时 ,网 络 掩 码 就 已 经 被 使 用 了 。 网 络 掩 码 用 于 找 出 地 址 段 的 第 
一 个 地 址 ,也 就 是 网 络 地 址 。 当 划分 子 网 时 ,情况 就 不 同 了 , 子 网 掩 码 有 更 多 的 1。 网 络 
掩 码 产生 了 网 络 地 址 , 子 网 掩 码 则 产生 子 网 地 址 。 

CD 子 网 掩 码 规则 

在 使 用 掩 码 的 初期 ,采用 的 是 不 连续 子 网 掩 码 。 所 谓 不 连续 子 网 掩 码 ,是 指 这 些 位 并 
非 一 串 1 后 面 跟随 一 串 0, 而 是 将 1 和 0 混杂 在 一 起 。 现 在 都 使 用 连续 的 掩 码 ( 即 一 串 1 
后 面 跟随 一 串 0) 。 

例如 ,11111111 11111111 11110000 00000000( 即 255. 255. 240. 0) 是 合法 的 
子 网 掩 码 , 而 11111111 11111111 11000011 00000000( 即 255. 255. 195. 0) 是 非法 
AY FP HE 
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(2) 计算 子 网 地 址 

只 要 给 出 了 IP 地址 ,就 可 以 对 地 址 进行 掩 码 运 算 , 找 出 子 网 地 址 。 有 直接 的 和 快捷 
的 两 种 方法 。 

D 直接 的 方法 

使 用 直接 的 方法 时 ,把 用 二 进 制 数 表示 的 地 址 和 掩 码 进 行 “与 ”操作 , 找 出 子 网 地 址 。 

若 主机 地 址 是 144. 45. 34. 56 , 子 网 掩 码 是 255. 255. 240. 0, 求 子 网 地 址 的 过 程 如 下 
(对 主机 地 址 和 子 网 掩 码 进 行 与 运算 操作 ): 


主机 地 址 ”10001000 00101101 00100010 00111000 

CSS 11111111 11111111 11110000 00000000 

子 网 地 址 10001000 00101101 00100000 00000000 
则 子 网 地 址 是 144. 45. 32. 0。 

© 快捷 的 方法 

若 子 网 掩 码 是 连续 的 ,可 以 使 用 快捷 的 方法 ,这 时 要 遵循 三 条 规则 ; 

。 若 掩 码 中 的 字 节 是 255 ,复制 这 个 字 节 到 地 址 中 。 

* 若 掩 码 中 的 字 节 是 0, 在 地 址 中 用 0 代替 这 个 字 节 。 

* 若 掩 码 中 的 字 节 既 不 是 255 也 不 是 0, 采 用 二 进 制 写 出 掩 码 和 地 址 ,然后 进行 

对 于 上 述 示例 ,采取 快捷 的 方法 计算 如 下 : 

主机 地 址 144. 45.00100010.56 

子 网 掩 码 144.255.11110000. 0 

子 网 地 址 144. 45.00100000. 0 
则 子 网 地 址 是 144. 45. 32. 0。 

(3) 子 网 数 和 每 一 个 子 网 内 的 地 址 数 

计算 在 使 用 子 网 掩 码 时 给 默认 掩 码 增加 的 1 的 个 数 ,就 可 以 找 出 子 网 数 。 在 上 例 中 ， 
额外 的 1 的 个 数 为 4, 因 此 子 网 数 是 2 —8. 

计算 子 网 掩 码 中 0 的 个 数 , 可 找 出 每 一 个 子 网 的 地 址 数 。 在 上 例 中 ,0 的 个 数 是 12， 
因此 在 每 一 个 子 网 中 可 能 的 地 址 数 是 212 = 4096. 

每 一 个 子 网 中 的 第 一 个 地 址 ( 即 主 机 位 全 0) 是 子 网 地 址 ,最 后 一 个 地 址 ( 即 主机 位 
全 1) 保留 在 子 网 内 用 作 受 限 广播 地 址 。 因 此 ,在 每 一 个 子 网 内 的 有 效 主机 地 址 数 是 
2^—2. 


规律 总 结 (检查 ) 


网 络 是 信息 基础 设施 ,在 社会 生活 中 ,信息 传递 .营销 、 服 务 ,交流 、 娱 乐 等 各 种 活动 都 
可 以 通过 网 络 完 成 .网 络 的 质量 直接 决定 了 社会 生活 和 经 济 生活 的 质量 。 在 计算 机 网 络 
的 质量 体系 中 ,网 络 管理 是 一 个 关键 环节 。 网 络 管理 的 质量 直接 影响 网 络 的 运行 质量 。 
对 于 网 络 管理 ,管理 员 除 了 具备 有 关 基 本 的 连接 设备 和 协议 的 知识 之 外 ,需要 重点 掌 
握 交换 和 路 由 技术 ,本 教材 将 侧重 于 介绍 这 两 方面 的 知识 。 
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在 计算 机 网 络 系统 中 ,交换 概念 的 提出 是 对 共享 工作 模式 的 改进 。HUB 集线器 
就 是 一 种 共享 设备 ,但 HUB 本 身 不 能 识别 目的 地 址 , 当 同 一 局 域 网 内 的 A 主机 给 B 
主机 传输 数据 时 ,数据 包 在 以 HUB 为 架构 的 网 络 上 是 以 广播 方式 传输 的 ,由 每 一 台 
终端 通过 验证 数据 包头 的 地 址 信息 来 确定 是 否 接收 。 也 就 是 说 ,在 这 种 工作 方式 
下 ,同一 时 刻 网 络 上 只 能 有 一 组 数据 帧 的 通信 ,如 果 发 生 碰 撞 , 还 得 重 试 。 这 种 方式 
就 是 共享 网 络 带 宽 。 

路 由 器 是 互联 网 的 主要 节点 设备 。 路 由 器 通过 路 由 决定 数据 的 转发 。 转 发 策略 称 为 
路 由 选择 (routing) ,这 也 是 路 由 器 名 称 的 由 来 (router, 转 发 者 )。 作 为 不 同 网 络 之 间 互 相 
连接 的 枢纽 ,路 由 器 系统 构成 了 基于 TCP/IP 的 国际 互联 网 Internet 的 主体 脉络 ,也 可 以 
说 ,路 由 器 构成 了 Internet 的 骨架 。 它 的 处 理 速度 是 网 络 通信 的 主要 瓶颈 之 一 ,其 可 靠 性 
直接 影响 着 网 络 互联 的 质量 。 因 此 ,在 园区 网 ,地 区 网 ,乃至 整个 Internet 研究 领域 中 ,路 
由 器 技术 始终 处 于 核心 地 位 ,其 发 展 历程 和 方向 成 为 整个 Internet 研究 的 一 个 缩影 。 

网 络 管理 不 是 新 概念 。 从 广义 上 讲 , 任 何 一 个 系统 都 需要 管理 ,只 是 由 于 系统 的 大 小 
和 复杂 性 的 不 同 ,管理 在 整个 系统 中 的 重要 性 有 所 不 同 。 网 络 也 是 一 个 系统 。 虽 然 网 络 
管理 很 早 就 有 , 却 一 直 没 有 得 到 应 有 的 重视 。 这 是 因为 以 前 的 网 络 规模 较 小 ,而 且 复杂 人 性 
不 高 ,一 个 简单 的 网 络 管理 系统 就 可 以 满足 网 络 正 常 运行 的 需要 ,因而 对 其 研究 较 少 。 但 
随 着 网 络 规模 逐渐 增 大 ,复杂 性 增加 ,网 络 管 理 技术 凸显 其 重要 性 ,而 且 网 络 要 正常 运行 ， 
对 于 网 络 管理 的 依赖 性 越 来 越 大 。 


拓展 提高 (拓展 ) 


1. 网 络 设备 的 IOS 恢复 问题 


由 于 在 路 由 器 或 交换 机 的 配置 过 程 中 操作 失误 , 致使 路 由 器 TOS 操作 系统 丢失 , F 
致 设备 无 法 进入 正常 工作 状态 ,这 时 候 该 怎么 恢复 呢 ? 

首先 ,在 一 台 PC 机 上 安装 TFTP 服务 器 软件 ,将 IOS 文件 放置 在 TFTP 服务 器 的 
默认 根 目 录 下 ,打开 TFTP 服务 器 ,用 控制 线 将 这 人 台 机 器 与 路 由 器 连接 起 来 ,用 交叉 网 线 
连接 机 器 的 网 卡 和 路 由 器 的 以 太 口 (也 可 以 用 普通 的 网 线 将 路 由 器 和 交换 机 相连 ,再 连接 
机 器 ) o 

然后 ,打开 机 器 的 超级 终端 工具 ,连接 路 由 器 ,此 时 窗口 中 出 现 的 命令 行 提示 符 为 : 


ROMON 1» (其 中 "1 代表 命令 行 的 行 数 ) 


在 提示 符 后 输入 命令 。ROMMON 二 是 操作 系统 丢失 的 情况 下 ,网 络 设备 的 配置 模 
式 。 具 体操 作 步 又 如 下 : 


ROMON 1> IP ADDRESS= 路 由 器 的 IP HAE (要 和 TETP 服务 器 在 同一 网 段 内 ) 
ROMMON 2» IP SUBNET MASK= 路 由 器 的 子 网 掩 码 

ROMMON 3» DEFAUT GRTEWRY=- 默 认 网 关 地 址 (可 以 没有 .也 可 以 是 TETP 服 务 器 ) 
ROMMON 4» TETP SERVER=TETP 服务 器 IP 地 址 

ROMMON 5» TETP FILE- IOS 文 件 名 (只 给 出 文件 名 ,不 需要 路 径 ) 
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ROMMON 6> t£tpdnld ( 按 Enter fit) 


注意 : 前 面 的 几 条 命令 必须 使 用 大 写 , 最 后 的 tftpdnld 要 用 小 写 。 

在 tftpdnld 命令 执行 后 ,只 要 根据 提示 选择 ,就 可 完成 文件 的 传输 。 当 文件 传输 完成 
后 ,将 自动 回 到 命令 行 下 ,输入 “reset” 重 启 路 由 器 ,将 回 到 IOS 模式 。 此 时 ,甚至 连 以 前 
配置 的 信息 都 将 恢复 。 


2. 设计 子 网 实例 


为 了 更 好 地 理解 子 网 划分 ,下 面 给 出 网 络 管理 员 设 计 公 司 子 网 的 实例 。 操 作 步 又 
如 下 。 

(1) 决定 子 网 数 

决定 子 网 数 就 是 确定 公司 需要 的 子 网 数 。 作 出 决定 所 根据 的 几 个 因素 是 公司 的 物理 
位 置 (建筑 物 和 楼 层 的 数目 ) 、 部 门 数 、 每 一 个 子 网 需要 的 主机 数 ,等 等 。 子 网 数 必须 为 2 
的 若干 次 方 (0,2,4,8,16,32,…)。 应 当 注 意 ,选择 0 表示 不 划分 子 网 。 

(2) dii T di 

找 出 子 网 掩 码 就 是 要 找 出 连续 的 子 网 掩 码 。 下 面 的 规则 可 帮助 网 络 管理 员 很 容易 地 
Tei Y KETS 

O 找 出 默认 掩 码 中 的 1 的 个 数 。 

Q 找 出 定义 子 网 的 1 的 个 数 。 

G 把 规则 @ 和 四 中 的 1 的 个 数 相 加 。 

@ 找 出 0 的 个 数 , 它 等 于 32 减 去 规则 @ 得 出 的 1 的 个 数 。 

(3) 找 出 每 一 个 子 网 的 地 址 范围 

在 确定 子 网 掩 码 之 后 ,网 络 管理 员 就 能 找 出 每 一 个 子 网 的 地 址 范围 。 有 两 种 方法 用 
来 寻找 每 一 个 子 网 的 第 一 个 和 第 二 个 地 址 。 

第 一 种 方法 是 从 第 一 个 子 网 开始 。 第 一 个 子 网 的 第 一 个 地 址 是 该 地 址 段 的 第 一 个 地 
址 ,加 上 每 一 个 子 网 的 地 址 数 可 得 出 最 后 一 个 地 址 。 然 后 ,把 该 地 址 加 1, 找 出 下 一 个 子 
网 的 第 一 个 地 址 。 对 这 个 子 网 重复 以 上 过 程 。 

第 二 种 方法 是 从 最 后 一 个 子 网 开始 。 最 后 一 个 子 网 的 最 后 一 个 地 址 是 该 地 址 段 的 最 
后 一 个 地 址 ,通过 掩 码 运 算 可 获得 子 网 的 第 一 个 地 址 。 然 后 ,把 该 地 址 减 1, 找 出 倒数 第 
二 个 子 网 的 最 后 一 个 地 址 。 对 这 个 子 网 重复 以 上 过 程 。 

例如 , 某 个 公司 分 到 的 地 址 是 201. 70. 64. 0(C 类 )。 该 公司 需要 6 个 子 网 , 试 设计 子 
网 。 解 决 这 个 问题 的 分 析 过 程 如 下 : 

D 默认 掩 码 的 个 数 是 24(C 类 )。 

@ 公司 需要 6 个子 网 ,但 6 不 是 2 的 整数 次 方 ,其 下 一 个 2 的 整数 次 方 是 8(2 的 3 次 
Fr) , 则 子 网 掩 码 中 需要 有 3 个 1. 

© 子 网 掩 码 中 1 的 个 数 是 27(24 十 3) 。 

由 子 网 掩 码 中 o 的 个 数 是 5(32 一 27) 。 
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© 子 网 掩 码 的 二 进 制 表示 是 11111111 11111111 11111111 11100000, 点 分 十 进 制 表 
示 是 255. 255. 255. 224。 

© 子 网 数 是 8. 

CD 每 个 子 网 中 的 地 址 数 是 25(5 是 0 的 个 数 ) 或 32。 

@ 采用 第 一 种 方法 找 出 地 址 范围 。 从 第 一 个 子 网 开始 ,其 第 一 个 地 址 是 201. 70. 64. 0 
(地 址 段 中 的 第 一 个 地 址 ) ;最 后 一 个 地 址 是 在 第 一 个 地 址 上 加 31( 每 一 个 子 网 的 地 址 数 
是 32, 但 只 能 加 31) ,得 到 201. 70. 64. 31. 

© 找 出 第 二 个 子 网 的 地 址 范围 ,其 第 一 个 地 址 是 201. 70. 64. 32( 在 第 一 个 子 网 的 最 
后 一 个 地 址 的 后 面 ) ;最 后 一 个 地 址 是 在 第 一 个 地 址 上 加 31 ,得 出 201. 70. 64. 63。 

D 在 剩 下 的 子 网 中 ,地 址 是 范围 采用 类 似 的 方法 求 出 。 


思考 训练 (评估 ) 


1. 思考 与 提高 


(1) 网 络 设备 操作 系统 的 作用 是 什么 ? 
(2) 连接 网 络 设备 有 哪 几 种 方式 ? 

(3) 简 述 IP 地 址 的 作用 及 其 分 类 方法 。 
(4) 简 述 子 网 划分 的 方法 。 


2. Sill 


(1) 练习 使 用 telnet 登录 交换 机 。 

(2) 若 主 机 地 址 是 19. 30. 80. 5 ,网络 掩 码 是 255. 255. 192. 0, 试 求 子 网 地 址 和 广播 
地 址 。 

(3) 某 个 公司 分 到 的 地 址 是 201. 70. 64. 0(C 类 )。 该 公司 需要 6 个 子 网 , 试 设计 
子 网 。 
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任务 情境 (资讯 ) 


张 三 和 李 四 在 大 学 是 室友 ,他 们 平时 为 导师 编写 程序 。 毕 业 后 ,两 人 自主 创业 ,成 立 

一 个 小 型 软件 公司 ,主要 业务 是 软件 开发 。 经 过 几 年 的 发 展 ,公司 慢 慢 壮大 起 来 。 
2008 年 , 张 三 和 李 四 开 发 的 一 套 软件 在 市 场 上 取得 了 巨大 的 成 功 。 在 风险 投资 的 资金 支 
持 下 ,他 们 又 成 立 了 ThreeFour Software 软件 公司 ,有 40 名 员工 ,租用 了 400 多 平方 米 
的 办 公 室 。 这 时 就 需要 将 公司 里 的 服务 器 和 PC 机 用 网 络 设备 连接 起 来 。 考 察 当 前 市 场 
的 主流 产品 后 ,他 们 选用 两 台 24 O Cisco 交换 机 来 作为 网 络 连接 设备 。 

随 着 公司 网 络 规模 的 增 大 ,在 运行 的 过 程 中 ,有 员工 抱怨 网 络 速度 越 来 越 慢 ,交换 机 
也 时 常 处 于 满 负荷 工作 状态 。 李 四 在 交换 机 的 端口 上 观察 流量 ,发 现在 网 络 中 有 大 量 的 
广播 报 文 出 现 ,这 严重 地 影响 了 交换 机 的 性 能 。 

为 了 解决 广播 风暴 的 问题 , 李 四 在 整个 网 络 中 划分 了 VLAN ,两 个 从 事 软 件 开发 的 
工作 组 分 属 两 个 VLAN, 张 三 、 李 四 以 及 其 他 市 场 人 员 属 于 一 个 VLAN。 这 样 做 隔离 了 
广播 域 ,有 效 地 抑制 了 广播 风暴 。 由 于 公司 所 有 的 PC 都 连接 在 两 台 交换 机 上 ,所 以 在 两 
台 交 换 机 上 都 配置 了 三 个 相应 的 VLAN ,交换 机 之 间 的 端口 也 都 配置 成 Trunk 端口 并 允 
许 三 个 VLAN iit, VLAN 建 好 后 , 李 四 发 现 不 同 VLAN 的 主机 之 间 无 法 互相 访问 。 
这 时 ,需要 一 个 三 ANA EN A. 

在 增加 了 一 台 三 层 交 换 机 之 后 ,公司 网 络 中 的 跨 VLAN 通信 问题 得 到 了 解决 。 但 是 

又 出 现 了 新 的 问题 ， 9$ VLAN 的 数据 流量 都 先 送 到 三 层 交 换 机 ,而 且 在 同一 VLAN 但 
分 属 不 同 二 层 交 换 机 的 流量 也 会 通过 三 层 交 换 机 。 这 样 , 若 任意 一 条 连接 二 层 交 换 机 和 
三 层 交 换 机 的 链 路 断 开 ,都 会 对 网 络 中 的 数据 传输 造成 较 大 的 影响 。 

为 此 ,需要 提高 网 络 的 可 靠 性 ,增加 一 条 连接 两 台 二 层 交 换 机 的 宛 余 链 路 ,即使 任意 
一 条 链 路 断 开 ,网络 仍然 可 以 保持 连通 。 但 新 增 一 条 宛 余 链 路 之 后 ,部 分 主机 将 无 法 访 
问 ,交换 机 流量 明显 增 大 ,特别 是 广播 流量 增加 ,交换 机 又 处 于 满 负 荷 工作 状态 。 


任务 分 析 ( 决 策 ) 


在 上 述 情境 中 有 两 个 核心 问题 , 即 VLAN 的 划分 和 网 络 中 宛 余 链 路 的 产生 及 相应 的 
解决 办 法 。 为 了 解决 这 两 个 问题 ,需要 掌握 以 下 理论 。 


1. VLAN 的 内 含 
VLAN (Virtual Local Area Network) 即 虚拟 局 域 网 。LAN 可 以 是 由 几 台 家 用 计算 
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机 构成 的 网 络 ,也 可 以 是 由 数 以 百 计 的 计算 机 构成 的 企业 网 络 。VLAN 所 指 的 LAN 特 
指使 用 路 由 器 分 割 的 网 络 ,也 就 是 广播 域 。 

广播 域 指 的 是 广播 帧 (目标 MAC 地 址 全 部 为 1) 所 能 传递 到 的 范围 , 即 能 够 直接 通信 
的 范围 。 严 格 地 说 ,不 仅仅 是 广播 帧 ,多 播 帧 (Multicast Frame) 和 目标 不 明 的 单 播 由 
(Unknown Unicast Frame) 也 能 在 同一 个 广播 域 中 畅行 无 阻 。 

本 来 ,二 层 交换 机 只 能 构建 单一 的 广播 域 ,但 在 使 用 VLAN 功能 后 , 它 能 够 将 网 络 分 
割 成 多 个 广播 域 。 那 么 ,为 什么 需要 分 割 广播 域 呢 ? 因为 如 果 仅 有 一 个 广播 域 ,可 能 影响 
到 网 络 整体 的 传输 性 能 。 

图 2-1 所 示 是 一 个 由 5 台 二 层 交 换 机 (交换 机 1 一 5) 连 接 大 量 客户 机 构成 的 网 络 。 假 
设计 算 机 A 需要 与 计算 机 B 通信 ,在 基于 以 太 网 的 通信 中 ,必须 在 数据 帧 中 指定 目标 
MAC 地 址 才能 正常 通信 ,因此 计算 机 A 必须 先 广播 *ARP 请 求 (ARP Request) 信 息 ” 来 
尝试 获取 计算 机 B fg MAC 地 址 。 


A B 
交换 机 1 N 交换 机 3 ”广播 帧 会 传播 到 网 络 
的 每 一 台 主 机 ， 并 
ARP 且 对 每 一 台 计 算 机 的 
请 求 广播 交换 机 2 ”CPU 造成 负担 


图 2-1 ARP 请 求 


交换 机 1 收 到 广播 帧 (ARP 请 求 ) 后 ,将 它 转发 给 除 接收 端口 外 的 其 他 所 有 端口 ,也 
就 是 Flooding( 泛 洪 ) 了 。 交 换 机 2 收 到 广播 帧 后 也 会 Flooding。 交 换 机 3.4.5 也 会 
Flooding。 最 终 ,ARP 请 求 被 转发 到 同一 个 网 络 中 的 所 有 客户 机 上 。 

这 个 ARP 请 求 原 本 是 为 了 获得 计算 机 也 的 MAC 地 址 而 发 出 的 。 也 就 是 说 ,只 要 计 
算 机 也 能 收 到 就 可 以 了 。 但 是 事实 上 ,数据 帧 传 遍 整个 网 络 ,导致 所 有 的 计算 机 都 收 到 
了 它 。 如 此 一 来 ,一 方面 ,广播 信息 消耗 了 网 络 带宽 ; 另 一 方面 , 收 到 广播 信息 的 计算 机 还 
要 消耗 一 部 分 CPU 时 间 来 对 它 进行 处 理 , 造 成 网 络 带宽 和 CPU 运算 能 力 的 大 量 无 谓 
消耗 。 

也 许 人 们 会 有 这 样 的 问题 : 广播 信息 是 这 样 经 常 发 出 的 吗 ? 广播 信息 真是 那么 频繁 
出 现 吗 ? 是 的 ,实际 上 ,广播 帧 会 非常 频繁 地 出 现 。 利 用 TCP/IP 协议 栈 通信 时 ,除了 前 
面 出 现 的 ARP 外 ,还 有 可 能 需要 发 出 DHCP(Dynamic Host Configuration Protocol, a 
态 主机 分 配 协议 ) 、RIP(Routing Information Protocol, 路 由 信息 协议 ) 等 很 多 其 他 类 型 的 
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广播 信息 。 

ARP 广播 是 在 需要 与 其 他 主机 通信 时 发 出 的 。 当 客户 机 请 求 DHCP 服务 器 分 配 TP 
地 址 时 ,必须 发 出 DHCP 广播 。 使 用 RIP 作为 路 由 协议 时 ,每 隔 30s, 路 由 器 会 对 邻近 的 
其 他 路 由 器 广播 一 次 路 由 信息 。RIP 以 外 的 其 他 路 由 协议 使 用 多 播 传输 路 由 信息 ,也 会 
被 交换 机 转发 (Flooding)。 除 了 TCP/IP 以 外 .NetBEUI,IPX 和 AppleTalk 等 协议 也 经 
常 需要 用 到 广播 。 例 如 ,在 Windows 下 双击 打开 * 网 络 计算 机 ?时 会 发 出 广播 (多 播 ) 信 息 
(Windows XP 除外 ) 。 

总 之 ,广播 就 在 我 们 身边 。 下 面 列 出 的 是 一 些 常见 的 广播 通信 : 

(D ARP 请 求 : 建立 IP 地 址 和 MAC 地 址 的 映射 关系 。 

© RIP; 一 种 路 由 协议 。 

© DHCP: 用 于 自动 设 定 IP 地 址 的 协议 。 

@ NetBEUI: Windows 下 使 用 的 网 络 协议 。 

($9 PX: Novell Netware 使 用 的 网 络 协议 。 

© AppleTalk: 苹果 公司 的 Macintosh 计算 机 使 用 的 网 络 协议 。 

如 果 整 个 网 络 只 有 一 个 广播 域 ,那么 一 旦 发 出 广播 信息 ,就 会 传 遍 整 个 网 络 ,并 且 对 
网 络 中 的 主机 带 来 额外 的 负担 。 因 此 ,在 设计 LAN 时 ,需要 注意 有 效 地 分 割 广播 域 。 


2. 采用 VLAN 的 目的 


VLAN 技术 主要 解决 交换 机 在 进行 局 域 网 互联 时 无 法 限制 广播 的 问题 。 它 把 一 个 
LAN 划分 成 多 个 逻辑 上 的 LAN 一 一 VLAN, 每 个 VLAN 是 一 个 广播 域 ,VLAN 内 的 主 
机 间 通 信 就 和 在 一 个 LAN 内 一 样 ，VLAN 间 不 能 直接 互通 ,将 广播 报 文 限制 在 一 个 
VLAN Hj, 


3. TR HER 


在 骨干 网 设备 连接 中 ,单一 链 路 的 连接 很 容易 实现 ,但 一 个 简单 的 故障 就 会 造成 网 络 
中 断 。 因 此 ,在 实际 网 络 组 建 的 过 程 中 ,为 了 保持 网 络 的 稳定 性 ,在 由 多 台 交换 机 组 成 的 
网 络 环境 中 ,通常 使 用 备份 连接 。 以 提高 网 络 的 健壮 性 ,稳定 性 。 

备份 连接 也 称 为 备份 链 路 或 者 宛 余 链 路 。 备 份 链 路 之 间 的 交换 机 经 常 互相 连接 , 形 
成 环 路 ,在 一 定 程度 上 实现 元 余 。 

链 路 的 宛 余 备份 使 网 络 的 健壮 性 、 稳 定性 和 可 靠 性 得 到 提高 ,但 是 备份 链 路 使 网 络 存 
在 环 路 。 交 换 机 之 间 的 环 路 将 导致 广播 风暴 .多 帧 复制 和 地 址 表 的 不 稳定 等 问题 。 


4. 链 路 聚合 


链 路 聚合 是 指 将 两 条 或 更 多 条 数据 信道 结合 成 一 条 信道 ,该 信道 以 单个 的 更 高 带宽 
的 逻辑 链 路 出 现 。 链 路 聚合 一 般 用 来 连接 一 个 或 多 个 带宽 需求 大 的 设备 ,例如 连接 骨干 
网 络 的 服务 器 或 服务 器 群 。 
如 果 聚 合 的 每 条 链 路 都 遵循 不 同 的 物理 路 径 , 则 聚合 链 路 也 提供 元 余 和 容错 。 通 过 
合 调制 解 调 器 链 路 或 者 数字 线路 , 链 路 聚合 可 用 于 改善 对 公共 网 络 的 访问 。 链 路 聚合 
了 电 可 用 于 企业 网 络 , 以 便 在 吉 比 特 以 太 网 交换 机 之 间 构 建 多 条 吉 比 特 的 主干 链 路 。 
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采用 链 路 聚合 后 , 敢 辑 链 路 的 带宽 增加 了 大 约 (n 一 1) 信 ,这 里 ,n 为 聚合 的 路 数 。 另 
外 ,聚合 后 , 链 路 可 靠 性 大 大 提高 ,因为 n 条 链 路 中 只 要 有 一 条 可 以 正常 工作 , 则 聚合 后 的 
这 条 链 路 就 可 以 工作 。 除 此 之 外 , 链 路 聚合 可 以 实现 负载 均衡 。 因 为 对 于 通过 链 路 聚合 
连接 在 一 起 的 两 台 ( 或 多 台 ) 交 换 机 (或 其 他 网 络 设备 ) ,通过 内 部 控制 ,可 以 合理 地 将 数据 
分 配 在 被 聚合 连接 的 设备 上 ,实现 负载 分 担 。 

这 里 涉及 的 链 路 聚合 又 称 端口 聚合 或 端口 拥 绑 ,英文 名 称 是 Port Trunking, 其 功能 
是 将 交换 机 的 多 个 低 带 宽 端 口 拥 绑 成 一 条 高 带宽 链 路 ,实现 链 路 负载 平衡 ,避免 链 路 出 现 
拥塞 现象 。 通 过 配置 ,可 将 两 个 三 个 或 是 四 个 端口 进行 捆绑 ,分 别 负 责 特定 端口 的 数据 
转发 ,防止 单条 链 路 转发 速率 过 低 而 出 现 丢 包 的 现象 。 

Trunking 的 优点 是 价格 便宜 ,性 能 接近 千 兆 以 太 网 ;不 需要 重新 布线 ,也 无 须 考虑 干 
兆 网 传输 距离 极限 问题 ;Trunking 可 以 拥 绑 任何 相关 的 端口 ,也 可 以 随时 取消 设置 ,具有 
很 高 的 灵活 性 ,提供 了 负载 均衡 能 力 以 及 系统 的 容错 性 。 


5. 生成 树 协议 


CD 技术 原理 

生成 树 协 议 (STP,Spanning Tree Protocol) 的 基本 思想 就 是 生成 “一 棵 树 ”, 树 的 根 是 
一 台 称 为 根 桥 的 交换 机 ,根据 设置 的 不 同 , 不 同 的 交换 机 会 被 选 为 根 桥 , 但 任意 时 刻 只 能 
有 一 个 根 桥 。 由 根 桥 开始 , 逐 级 形成 一 棵 树 , 根 桥 定时 发 送 配置 报 文 , 非 根 桥接 收 配置 报 
文 并 转发 。 如 果 某 台 交 换 机 能 够 从 两 个 以 上 的 端口 接收 到 配置 报 文 , 说 明 从 该 台 交换 机 
到 根 有 不 止 一 条 路 径 ,构成 了 循环 回路 ,此 时 交换 机 根据 端口 的 配置 选 出 一 个 端口 并 把 其 
他 端口 阻塞 ,消除 循环 。 当 某 个 端口 长 时 间 不 能 接收 到 配置 报 文 的 时 候 , 交 换 机 认为 端口 
的 配置 超时 ,网 络 拓扑 可 能 已 经 改变 ,此 时 重新 计算 网 络 拓扑 ,重新 生成 一 棵 树 。 

(2) 功能 介绍 

生成 树 协议 最 主要 的 应 用 是 为 了 避免 局 域 网 中 的 网 络 环 回 , 解 决 成 环 以 太 网 的 “广播 
风暴 ?问题 。 从 某 种 意义 上 说 , 它 是 一 种 网 络 保护 技术 ,可 以 消除 由 于 失误 或 者 意外 带 来 
的 循环 连接 。STP 能 够 为 网 络 提供 备份 连接 ,可 与 SDH (Synchronous Digital 
Hierarchy, 同 步 数字 系列 ) 保 护 配合 构成 以 太 环 网 的 双重 保护 。 新 型 以 太 单 板 支 持 符合 
IEEE 802. 1d 标准 的 生成 树 协议 STP 及 802. 1w 规定 的 快速 生成 树 协议 (RSTP,Rapid 
Spaning Tree Protocol) ,收敛 速度 可 达到 1s。 

生成 树 协议 的 主要 功能 有 两 个 : 一 是 利用 生成 树 算法 ,在 以 太 网 中 创建 一 个 以 某 台 
交换 机 的 某 个 端口 为 根 的 生成 树 ,避免 环 路 ;二 是 在 以 太 网 拓扑 发 生变 化 时 ,通过 生成 树 
协议 达到 收敛 保护 的 目的 。 

(D. 生成 树 协 议 避 免 环 路 

每 个 LAN 都 会 选择 一 台 设 备 为 指定 交换 机 ,通过 该 设备 的 端口 连接 到 根 , 该 端口 为 
指定 端口 (DP,Designated Port). 

将 交换 网 络 中 所 有 设备 的 根 端口 (RP) 和 指定 端口 (DP) 设 为 转发 状态 (Forwarding) ,将 
其 他 端口 设 为 阻塞 状态 (Blocking)。 生 成 树 经 过 一 段 时 间 ( 默 认 值 是 50s) 稳 定之 后 ,所 有 
端口 要 么 进入 转发 状态 ,要么 进入 阻塞 状态 。 
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@ 生成 树 协议 对 网 络 的 收敛 保护 

STP 操作 对 于 终端 来 说 是 透明 的 ,而 不 管 终端 是 连 在 LAN 的 某 一 个 部 分 还 是 多 个 
部 分 。 当 创建 网 络 时 ,网 络 中 的 所 有 节点 之 间 存 在 多 条 路 径 。 

每 个 VLAN 是 一 个 逻辑 LAN 部 分 ,所 以 网 管 人 员 能 使 STP 一 次 工作 在 最 多 64 个 
VLAN 中 。 如 果 要 配置 超过 64 个 VLAN, 网 管 人 员 需 要 将 其 他 VLAN 的 STP 禁止 , 因 
为 默认 的 STP 可 以 支持 1 一 64 个 VLAN. 


任务 设计 (计划 ) 


在 简单 了 解 用 于 局 域 网 连接 的 基本 方法 后 ,下 面 根据 ThreeFour Software 公司 的 具 
体 情况 来 讨论 ,主要 完成 以 下 5 个 任务 : 

任务 2.1 实现 VLAN 的 机 制 

任务 2.2 VLAN 的 配置 与 管理 

任务 2.3 VLAN 的 汇聚 链接 、VLAN 间 路 由 

任务 2.4 交换 网 络 中 的 元 余 链 路 管理 

任务 2.5 配置 生成 树 协议 (STP/RSTP) 


任务 实施 (实施 ) 


任务 21 实现 VLAN 的 机 制 


2.1.1 使 用 VLAN 分 割 广播 域 


在 理解 了 “为 什么 需要 VLAN"” 之 后 , 接 下 来 讨论 交换 机 是 如 何 使 用 VLAN 分 割 广 
播 域 的 。 

首先 ,在 一 台 未 设置 任何 VLAN 的 二 层 交 换 机 上 ,任何 广播 帧 都 会 被 转发 给 除 接收 
端口 外 的 所 有 其 他 端口 (Flooding)。 例 如 ,计算 机 A 发 送 广播 信息 后 ,会 被 转发 给 端口 
2,3 和 4。 这 时 ,如 果 在 交换 机 上 生成 VLAN 1 和 VLAN 2, 同 时 设置 端口 1 和 2 属于 
VLAN 1, 端 口 3 和 4 属于 VLAN 2, 再 从 A 发 出 广播 帧 的 话 , 交 换 机 只 会 把 它 转发 给 同 
属于 一 个 VLAN 的 其 他 端口 ,也 就 是 同属 于 VLAN 1 的 端口 2, 而 不 会 转发 给 属于 
VLAN 2 的 端口 。 

同样 ,C 发 送 广播 信息 时 ,只 会 转发 给 属于 VLAN 2 的 端口 4, 而 不 会 转发 给 属于 
VLAN 1 的 端口 ,如 图 2-2 所 示 。 

就 这 样 ,VLAN 通过 限制 广播 帧 转发 的 范围 分 割 了 广播 域 。 图 中 为 了 便于 说 明 , 以 
红 、\ 蓝 两 色 识别 不 同 的 VLAN ,在 实际 中 用 “VLAN ID” 来 区 分 。 这 里 的 ID 用 于 标识 不 同 
的 VLAN, 其 范围 是 1~4094。 
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图 2-2 设置 VLAN 


2.1.2 直观 地 描述 VLAN 


如 果 要 更 直观 地 描述 VLAN, 可 以 理解 为 将 一 台 交 换 机 在 逻辑 上 分 割 成 数 台 交 换 
机 。 在 一 台 交 换 机 上 生成 VLAN 1 和 VLAN 2, 相 当 于 将 一 台 交 换 机 看 做 是 两 台 虚 拟 的 
交换 机 。 如 图 2-3 所 示 ,在 两 个 VLAN 之 外 生成 新 的 VLAN 时 ,可 以 想象 成 添加 了 新 的 
交换 机 。 


交换 机 1 2 3 4 
na 


jan 


ii 


图 2-3 将 一 台 交 换 机 看 做 两 台 虚拟 的 交换 机 


但 是 ,VLAN 生成 的 逻辑 上 的 交换 机 是 互 不 相通 的 。 因 此 ,在 交换 机 上 设置 VLAN 
后 ,如 果 未 做 其 他 处 理 ,VLAN 间 无 法 通信 。 

明明 接 在 同一 台 交换 机 上 , 却 偏偏 无 法 通信 ,这 个 事实 也 许 让 人 难以 接受 。 但 它 既 是 
VLAN 方便 易 用 的 特征 ,又 是 VLAN 令 人 难以 理解 的 原因 。 
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2.1.3 划分 VLAN 


1. 根据 端口 划分 VLAN 


许多 VLAN 厂商 都 利用 交换 机 的 端口 来 划分 VLAN 成 员 , 被 设 定 的 端口 都 在 同 
一 个 广播 域 中 。 例 如 ,一 个 交换 机 的 1.2.3.4.5 端口 被 定义 为 虚拟 网 AAA, 同 一 台 交换 机 
的 6,7,8 端口 组 成 虚拟 网 BBB。 这 样 做 ,允许 各 端口 之 间 通 信 , 并 允许 共享 型 网 络 的 升 
级 。 但 是 ,这 种 划分 模式 将 虚拟 网 限制 在 了 一 台 交 换 机 上 。 

第 二 代 端 口 VLAN 技术 允许 跨越 多 台 交 换 机 的 多 个 不 同 端口 划分 VLAN ,不 同 交 
换 机 上 的 若干 个 端口 可 以 组 成 同一 个 虚拟 网 。 

以 交换 机 端口 来 划分 网 络 成 员 , 其 配置 过 程 简单 明了 ,是 最 常用 的 一 种 方式 。 


2. 根据 MAC 地 址 划分 VLAN 


这 种 方法 是 根据 每 个 主机 的 MAC 地 址 来 划分 , 即 对 每 个 MAC 地 址 的 主机 都 配置 
它 属 于 哪个 组 。 这 种 方法 的 最 大 优点 是 当 用 户 物理 位 置 移动 , 即 从 一 台 交换 机 换 到 其 他 
交换 机 时 ,VLAN 不 用 重新 配置 ,所 以 这 种 划分 方法 基于 用 户 的 VLAN。 其 缺点 是 初始 
化 时 ,所 有 用 户 都 必须 配置 ,如 果 用 户 较 多 ,配置 工作 将 非常 繁重 ;而 且 这 种 方法 导致 交换 
机 执行 效率 降低 ,因为 在 每 一 台 交换 机 端口 都 可 能 存在 很 多 个 VLAN 组 的 成 员 ,无 法 限 
制 广播 包 。 另 外 ,对 于 使 用 笔记 本 电脑 的 用 户 来 说 ,他 们 的 网 卡 可 能 经 常 更 换 ， 必 须 经 常 
配置 VLAN. 


3. 根据 网 络 层 划分 VLAN 


这 种 方法 是 根据 每 个 主机 的 网 络 层 地 址 或 协议 类 型 (如 果 支 持 多 协议 ) 划 分 的 。 虽 然 
这 种 划分 方法 是 根据 网 络 地 址 ,比如 IP 地 址 ,但 它 不 是 路 由 ,与 网 络 层 的 路 由 毫 无 关系 。 

这 种 方法 的 优点 是 当 用 户 的 物理 位 置 改变 时 ,不 需要 重新 配置 所 属 的 VLAN ,而 且 
可 以 根据 协议 类 型 来 划分 VLAN ,这 对 网 络 管理 者 来 说 很 重要 。 还 有 ,这 种 方法 不 需要 
附加 的 帧 标签 来 识别 VLAN ,减少 了 网 络 通信 量 。 

这 种 方法 的 缺点 是 效率 低 , 因 为 检查 每 一 个 数据 包 的 网 络 层 地 址 需要 处 理 时 间 (相对 
于 前 面 两 种 方法 ) ,一 般 的 交换 机 芯片 都 可 以 自动 检查 网 络 上 数据 包 的 以 太 网 帧 头 ,但 要 让 
芯片 检查 IP 帧 头 ,需要 更 高 的 技术 ,也 更 费时 。 当 然 , 这 与 各 个 厂商 的 实现 方法 有 关 。 


4. 根据 IP 组 播 划 分 VLAN 


IP 组 播 实际 上 也 是 一 种 VLAN 的 定义 , 即 认为 一 个 组 播 组 就 是 一 个 VLAN。 这 种 
划分 方法 将 VLAN 扩大 到 广域网 ,因此 具有 更 大 的 灵活 性 ,也 很 容易 通过 路 由 器 进行 扩 
展 。 这 种 方法 不 适合 局 域 网 ,主要 原因 是 效率 不 高 。 
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5. 基于 规则 的 VLAN 


基于 规则 的 VLAN 也 称 为 基于 策略 的 VLAN。 这 是 最 灵活 的 VLAN 划分 方法 ,具有 
自动 配置 的 能 力 ,能 够 把 相关 的 用 户 连 成 一 体 , 在 逻辑 划分 上 称 为 “关系 网 络 ”。 网 络 管理 员 
只 需 在 网 管 软件 中 确定 划分 VLAN 的 规则 (或 属性 ), 当 一 个 站 点 加 入 网 络 时 ,将 会 被 * 感 
知 ”, 并 被 自动 地 包含 进 正确 的 VLAN。 同 时 ,对 站 点 的 移动 和 改变 也 可 自动 识别 和 跟踪 。 

采用 这 种 方法 ,整个 网 络 可 以 非常 方便 地 通过 路 由 器 扩展 网 络 规模 。 有 的 产品 还 支 
持 一 个 端口 上 的 主机 分 别 属于 不 同 的 VLAN, 这 在 交换 机 与 共享 式 HUB 共存 的 环境 中 
显得 尤为 重要 。 自 动 配置 VLAN 时 ,交换 机 软件 自动 检查 进入 交换 机 端口 的 广播 信息 的 
IP 源 地 址 ,然后 将 端口 分 配给 一 个 由 IP 子 网 映射 成 的 VLAN。 


6. RAPEX 、 非 用 户 授 权 划 分 VLAN 


基于 用 户 定义 、 非 用 户 授 权 来 划分 VLAN, 是 指 为 了 适应 特别 的 VLAN 网 络 ,根据 
网 络 用 户 的 特别 要 求 来 定义 和 设计 VLAN ,而 且 可 以 让 非 VLAN 群体 用 户 访问 VLAN, 
但 是 需要 提供 用 户 密码 ,在 得 到 VLAN 管理 认证 后 才 可 以 加 入 一 个 VLAN., 

对 于 以 上 介绍 的 划分 VLAN 的 方式 ,基于 端口 的 VLAN 端口 方式 建立 在 物理 层 上 ; 
MAC 方式 建立 在 数据 链 路 层 上 ;网 络 层 和 IP 广播 方式 建立 在 第 三 层 上 。 


2.1.4 VLAN 的 标准 


本 节 只 介绍 两 种 比较 通用 的 VLAN 标准 ,一 些 公司 有 自己 的 标准 ,比如 Cisco 公司 
的 ISL 标准 ,虽然 不 是 通用 标准 ,但 是 由 于 Cisco Catalyst 交换 机 的 大 量 使 用 , 它 成 为 一 
种 “不 是 标准 的 标准 ”。 


1. 802. 10 VLAN 标准 


1995 年 ,Cisco 公司 提倡 使 用 IEEE 802. 10 协议 。 在 此 之 前 ,IEEE 802.10 曾经 在 全 
球 范围 内 作为 VLAN 安全 性 的 统一 规范 。Cisco 公司 试图 采用 优化 后 的 802. 10 帧 格式 
在 网 络 上 传输 Frame Tagging 模式 中 所 必需 的 VLAN 标签 。 然 而 ,大 多 数 802 委员 会 成 
员 都 反对 推广 802. 10, 因 为 该 协议 是 基于 Frame Tagging 方式 的 。 


2. 802. 1q 


1996 年 3 月 ,IEEE 802. 1 Internet Working 委员 会 结束 了 对 VLAN 初期 标准 的 修 

订 工 作 。 新 出 台 的 标准 进一步 完善 了 VLAN 的 体系 结构 ,统一 了 Frame Tagging 方式 中 

不 同 厂商 的 标签 格式 ,并 制定 了 VLAN 标准 在 未 来 一 段 时 间 内 的 发 展 方向 ,形成 的 802. 

1q 标准 在 业界 获得 了 推广 ,成 为 VLAN 史上 的 里 程 碑 。802. 1q 的 出 现 打 破 了 虚拟 网 依 

赖 于 单一 厂商 的 僵局 ,从 一 个 侧面 推动 了 VLAN 的 迅速 发 展 。 另 外 ,来 自 市 场 的 压力 使 
各 大 网 络 厂商 立刻 将 新 标准 融合 到 各 自 的 产品 中 。 
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3. Cisco ISL 标准 


ISLCInter-Switch Link) 是 Cisco 公司 的 专 有 封装 方式 ,只 能 在 Cisco 的 设备 上 支持 。 
ISL 是 一 个 在 交换 机 之 间 交换 机 与 路 由 器 之 间 及 交换 机 与 服务 器 之 间 传 递 多 个 VLAN 
信息 及 VLAN 数据 流 的 协议 ,直接 在 交换 机 的 端口 配置 ISL 封装 ,可 跨越 交换 机 进行 整 
个 网 络 的 VLAN 分 配 和 配置 。 


2.1.5 VLAN 的 简单 配置 


(1) 创建 VLAN 10 

Switch (config)#VLAN 10 

(2) 删除 VLAN 10 

Switch (config)#no VLAN 10 

(3) 查看 VLAN 的 配置 

Switch# show VLAN brief 

(D E VLAN 10 中 添加 端口 f0/2 


Switch (config)# interface £0/2 
Switch (config- if)# switchport mode access 
Switch (config- if)# switchport VLAN 10 


(5) 在 VLAN 10 中 删除 {0/2 


Switch (config)# interface f0/2 
Switch (config- if)#no switchport VLAN 10 


任务 22 VLAN 的 配置 与 管理 


情境 回顾 : 随 着 公司 网 络 规模 的 增 大 ,在 运行 的 过 程 中 ,有 员工 抱怨 网 络 速度 越 来 越 
慢 , 交 换 机 时 常 处 于 满 负 荷 工 作 状 态 。 李 四 在 交换 机 的 端口 上 观察 流量 ,发 现在 网 络 中 有 
大 量 的 广播 报 文 出 现 ,这 严重 地 影响 了 交换 机 的 性 能 。 

为 了 解决 广播 风暴 的 问题 , 李 四 在 整个 网 络 中 划分 了 VLAN, 两 个 从 事 软 件 开 发 的 
工作 组 分 属 两 个 VLAN, 张 三 、 李 四 以 及 其 他 市 场 人 员 属 于 一 个 VLAN。 这 样 做 隔离 了 
广播 域 ,有 效 地 抑制 了 广播 风暴 。 

那么 通过 什么 方法 实现 端口 间 的 隔离 呢 ? 这 里 划分 了 3 个 VLAN, 分 别 定义 为 
VLAN 10,VLAN 20 fil VLAN 30, 其 拓扑 环境 如 图 2-4 所 示 , 包 括 Cisco 1900 交换 机 
1 台 和 PC3 台 。 
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交换 机 
ae 
VLAN 10 F0/20 VLAN 20 
VLAN 30 
图 2-4 网 络 拓扑 
(1) 在 未 划分 VLAN 前 ,两 台 PC 可 以 ping 通 
(2) 创建 VLAN 
Switch # configure terminal ! 进 入 交换 机 全 局 配置 模式 
switch (config)#vlan 10 ! 创 建 vlan 10 
switch (config- vlan) #name test10 ! 将 vlan 10 命名 为 test10 
switch (config) #vlan 20 ! 创 建 vlan 20 
Switch (config- vlan)# name test20 ! 将 vlan 20 fp 44 JJ test20 
switch (config) #vlan 30 ! 创 建 vlan 20 


switch (config- vlan) #name test30 
switch (config- vlan) #end 
switch # show vlan 


DÉ vlan 30 fit % JJ test30 


! 查 看 VLAN 划分 情况 


Fa0/1, Fa0/2, Fa0/3 


Fa0/4, Fa0/5, Fa0/6 

Fa0/7, Fa0/8, Fa0/9 

Fa0/10, Fa0/11, Fa0/12 
Fa0/13, Fa0/14, Fa0/15 
Fa0/16, Fa0/17, Fa0/18 
Fa0/19, Fa0/20, Fa0/21 
Fa0/22, Fa0/23, Fa0/24 


VLAN Name Status 
x default active 
10 test10 active 
20 test20 active 
30  test30 active 


(3) 将 接口 分 配 到 VLAN 


switch (config)#interface fastEthernet 0/5 
switch (config- if)#switchport access vlan 10 
switch (config-if)#exit 

switch (config)# interface fastEthernet 0/15 
Switch (config- if)#switchport access vlan 20 
switch (config-if)fexit 

switch (config) # interface fastEthernet 0/20 
switch (config- if)#switchport access vlan 30 
switch (config- if) #end 

switch # show vlan 


! 进 入 fastethernet 0/5 的 接口 配置 模式 
! 将 fastethernet 0/5 端 口 加 入 vlan 10 


! 进 入 fastethernet 0/15 的 接口 配置 模式 
! 将 fastethernet 0/15 端口 加 入 vlan 20 


! 进 入 fastethernet 0/20 的 接口 配置 模式 
! 将 fastethernet 0/20 端口 加 入 vlan 30 


! 查 看 VLAN 的 端口 划分 情况 
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VLAN Name Status 
1 default active 
10 testl0 active 
20  test20 active 
30 test30 active 
(4) 两 台 PC 互相 ping 不 通 


(5) 将 一 组 接口 分 配 到 VLAN 


Switch # configure terminal 


Switch (config)# interface range fastEthernet 0/1 -10 
switch (config- if- range) # switch access vlan 10 


switch (config- if- range) #end 
switch # show vlan 


VLAN Name Status 
1 default active 
10 testl0 active 
20 test20 active 
30  test30 active 


Fa0/1 ,Fa0/2 ,Fa0/3 
Fa0/4 ,Fa0/6 ,Fa0/7 
Fa0/8 ,Fa0/9 ,Fa0/10 
Fa0/11, Fa0/12, Fa0/13 
Fa0/14,Fa0/16,Fa0/17 
Fa0/18, Fa0/19, Fa0/21 
Fa0/22, Fa0/23. Fa0/24 
Fa0/5 

Fa0/15 

Fa0/20 


! 进 入 接口 组 配置 模式 
! 将 接口 组 加 入 vlan 10 


Fa0/11, Fa0/12, Fa0/13 
Fa0/14, Fa0/16, Fa0/17 
Fa0/18,Fa0/19, Fa0/21 
Fa0/22,Fa0/23, Fa0/24 
Fa0/1,Fa0/2,Fa0/3 
Fa0/4,Fa0/5,Fa0/6 
Fa0/7,Fa0/8,Fa0/9 
Fa0/10 

Fa0/15 

Fa0/20 


任务 23. VLAN 的 汇聚 链接 、VLAN 间 路 由 


情境 回顾 : VLAN 建 好 后 , 李 四 发 现 不 同 VLAN 的 主机 之 间 无 法 互相 访问 。 这 时 ， 


需要 一 台 


三 层 设备 来 进行 VLAN 之 间 的 转发 。 


2.3.1 VLAN 的 汇聚 链接 (相同 VLAN 通信 ) 


1. 需要 设置 跨越 多 台 交 换 机 的 VLAN 时 ,交换 机 将 如 何 连接 呢 ? 


到 此 为 止 ,我 们 学 习 的 都 是 使 用 单 台 交 换 机 设置 VLAN 时 的 情况 。 那 么 ,如 果 
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设置 跨越 多 台 交 换 机 的 VLAN ,又 如 何 呢 ? 

在 规划 企业 级 网 络 时 ,可 能 会 遇 到 隶属 于 同一 部 门 的 用 户 分 散在 同一 座 建筑 物 中 的 
不 同 楼 层 的 情况 ,这 时 需要 考虑 跨越 多 台 交 换 机 设置 VLAN 的 问题 。 假 设 有 如 图 2-5 所 
示 的 网 络 , 且 需要 将 不 同 楼 层 的 计算 机 A LC 和 计算 机 BLD 设置 在 同一 个 VLAN。 


交换 机 1 
gom 


交换 机 2 
nog 


图 2-5 ”跨越 多 台 交换 机 的 VLAN 


这 时 最 关键 问题 的 就 是 “交换 机 1 和 交换 机 2 的 连接 ”, 最 简单 的 方法 是 在 交换 机 1 
和 交换 机 2 上 各 设 一 个 VLAN 专用 的 接口 并 互联 , 如 图 2-6 所 示 。 


交换 机 


交换 机 


图 2-6 两 台 交换 机 的 简单 连接 


这 个 办 法 从 扩展 性 和 管理 效率 来 看 都 不 好 。 例 如 ,在 现 有 网 络 基础 上 新 建 VLAN 
时 ,为 了 让 这 个 VLAN 互通 ,需要 在 交换 机 间 连 接 新 的 网 线 。 建 筑 物 楼 层 间 的 纵向 布线 
是 比较 麻烦 的 ,一 般 不 能 由 基层 管理 人 员 随 意 操作 ,而且 .VLAN 越 多 ,楼 层 间 (严格 地 说 
是 交换 机 间 ) 互 联 所 需 的 端口 越 多 。 交 换 机 端口 的 利用 效率 低 是 对 资源 的 浪费 ,也 限制 了 
网 络 的 扩展 。 

为 了 避免 这 种 低 效率 的 连接 方式 ,人 们 想 办 法 让 交换 机 间 互 联 的 网 线 集中 到 一 根 上 ， 
这 时 使 用 的 就 是 汇聚 链接 的 方法 。 


2. 汇聚 链接 


汇聚 链接 (Trunk Link) 指 的 是 能 够 转发 多 个 不 同 VLAN 的 通信 的 端口 。 汇 聚 链 路 
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上 流通 的 数据 帧 都 被 附加 了 用 于 识别 分 属于 哪个 VLAN 的 特殊 信息 。 

考虑 图 2-7 所 示 网 络 ,如 果 采 用 汇聚 链 路 ,用户 只 需要 简单 地 将 交换 机 间 互 联 的 
端口 设 定 为 汇聚 链接 就 可 以 了 。 这 时 使 用 的 网 线 还 是 普通 的 UTP 线 ,而 不 是 其 他 特 
殊 布线 。 


交换 机 1 
通过 汇聚 链 路 | Trunk Link 
时 ， 自 动 附 加 10g 
VLAN 识 别 信息 


数据 | 


H 
— 交换 机 2 
通过 识别 VLAN | Trunk Link 
标识 ， 转 发 给 相 oon 
应 的 端口 , 同时 数据 
去 除 VLAN 标识 ， 

恢复 成 原始 数据 帧 


图 2-7 交换 机 之 间 的 汇聚 链接 


3. 汇聚 链接 的 方法 


下 面 讨 论 汇聚 链接 是 如 何 实现 跨越 多 台 交换 机 的 VLAN, 

计算 机 A 发 送 的 数据 帧 从 交换 机 1 经 过 汇聚 链 路 到 达 交 换 机 2 时 ,在 数据 帧 上 附加 
了 表示 属于 VLAN 1 的 标记 。 

交换 机 2 收 到 数据 帧 后 ,经 过 检查 VLAN 标识 ,发 现 这 个 数据 帧 是 属于 VLAN 1 
的 ,因此 ,去 除 标记 后 ,根据 需要 将 复原 的 数据 帧 只 转发 给 其 他 属于 VLAN 1 的 端口 。 这 
时 的 转发 是 指 经 过 确认 目标 MAC 地 址 并 与 MAC 地 址 列表 比 对 后 只 转发 给 目标 MAC 
地 址 所 连 的 端口 。 只 有 当 数 据 帧 是 一 个 广播 帧 、 多 播 巾 或 是 目标 不 明 的 帧 时 , 它 才 会 被 转 
发 到 所 有 属于 VLAN 1 的 端口 ,如 图 2-7 所 示 。 

VLAN 2 发 送 数 据 帧 时 的 情形 与 此 相同 。 

通过 汇聚 链 路 时 附加 的 VLAN 识别 信息 有 可 能 支持 标准 的 IEEE 802. 1q 协议 ,也 可 
能 是 Cisco 产品 独 有 的 ISLC(OInter Switch Link)。 如 果 交 换 机 支持 这 些 规则 ,用 户 就 能 够 
高 效率 地 构筑 横 跨 多 台 交 换 机 的 VLAN, 

另外 ,汇聚 链 路 上 流通 着 多 个 VLAN 的 数据 ,自然 负载 较 重 。 因 此 ,在 设 定 汇聚 链接 
时 ,一 个 前 提 是 必须 支持 100Mbps 以 上 的 传输 速度 。 

在 默认 条 件 下 ,汇聚 链接 会 转发 交换 机 上 存在 的 所 有 VLAN 的 数据 。 换 一 个 角度 
看 ,可 以 认为 汇聚 链接 (端口 ) 同 时 属于 交换 机 上 所 有 的 VLAN。 由 于 实际 应 用 中 很 可 能 
并 不 需要 转发 所 有 VLAN 的 数据 ,因此 为 了 减轻 交换 机 的 负载 ,也 为 了 减少 对 带宽 的 浪 
费 , 可 以 通过 用 户 设 定 限制 能 够 经 由 汇聚 链 路 互联 的 VLAN。 


4. IEEE 802. 1q 与 ISL 


在 交换 机 的 汇聚 链接 上 ,可 以 通过 对 数据 帧 附加 VLAN 信息 ,构建 跨越 多 台 交 换 机 
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的 VLAN。 

对 于 附加 VLAN 信息 的 方法 ,最 具有 代表 性 的 是 IEEE 802. 1q 和 ISL。 下 面 讨论 这 
两 种 协议 分 别 如 何 对 数据 帧 附加 VLAN 信息 。 

(1) IEEE 802. 1q 

IEEE 802. 1q 俗称 "Dot One q”, 是 经 过 IEEE 认证 的 对 数据 帧 附加 VLAN 识别 信息 
的 协议 。IEEE 802. 1q 所 附加 的 VLAN 识别 信息 位 于 数据 帧 中 * 发 送 源 MAC 地 址 ”与 
“类 别 域 (Type Field) ”之 间 ,具体 内 容 为 2 字 节 的 TPID 和 2 字 节 的 TCI, 共 计 4 字 节 , 如 
图 2-8 所 示 。 


Ethernet Version 2 


目标 MAC | 发 送 源 MAC | 类 
地 址 地 址 | 型 数据 部 分 | eRe | 
6 字 节 6 字 节 ”2 字 节 46~1500 字 节 4 字 节 
IEEE 802.1q 2 字 节 2 字 节 
目标 MAC | 发 送 源 MAC 类 
地 址 地 址 [IPID]TEN 型 | 数据 部 分 
6 字 节 op vi 2 字 节 — 46-15007x 15 4 字 节 
Ox8100 内 含 12 位 CRC 经 过 
VLAN 标 识 重新 计算 


图 2-8 在 数据 帧 中 加 入 VLAN 识别 信息 (基于 IEEE 802. 1q) 


在 数据 帧 中 添加 了 4 字 节 内 容 , CRC 值 自 然 有 所 变化 。 这 时 ,数据 帧 上 的 CRC 是 插 
A TPID 和 TCI 后 ,对 包括 它们 在 内 的 整个 数据 帧 重新 计算 后 所 得 的 值 。 

当 数据 帧 离开 汇聚 链 路 时 ,TPID 和 TCI 会 被 去 除 ,这 时 要 重新 计算 一 次 CRC. 

TPID 的 值 固定 为 0x8100。 交 换 机 通过 TPID 确定 数据 帧 内 附加 了 基于 IEEE 802. 1q 
的 VLAN 信息 。 而 实质 上 的 VLAN ID 是 TCI 中 的 12 位 ,由 于 总 共有 12 位 ,因此 最 多 
可 识别 4096 个 VLAN. 

基于 IEEE 802. 1q 附加 的 VLAN 信息 就 像 在 传递 物品 时 附加 的 标签 ,因此 也 称 为 
“标签 型 VLAN(Tagging VLAN)”. 

(2) ISL 

ISL (Inter Switch Link) 是 Cisco 产品 支持 的 一 种 与 IEEE 802. 1q 类 似 的 用 于 在 汇聚 
链 路 上 附加 VLAN 信息 的 协议 。 使 用 ISL 后 ,每 个 数据 帧 头 部 都 会 被 附加 26 字 节 的 
“ISL 包头 (ISL Header)”, 并 且 在 帧 尾 带 上 通过 对 包括 ISL 包头 在 内 的 整个 数据 帧 进行 
计算 后 得 到 的 4 字 节 CRC 值 。 换 言 之 ,总 共 增加 了 30 字 节 信息 ,如 图 2-9 所 示 。 

在 使 用 ISL 的 环境 下 , 当 数 据 帧 离开 汇聚 链 路 时 ,只 要 简单 地 去 除 ISL 包头 和 新 
CRC 就 可 以 了 。 由 于 原先 的 数据 帧 及 其 CRC 都 被 完整 保留 ,因此 无 须 重新 计算 CRC 。 

ISL 有 如 用 ISL 包头 和 新 CRC 将 原 数 据 帧 整个 包 右 起 来 ,因此 称 为 “封装 型 VLAN 
(Encapsulated VLAN)”, 

需要 注意 的 是 ,不 论 是 IEEE 802. 1q fj" Tagging VLAN”, 还 是 ISL 的 “Encapsulated 
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Ethernet Version 2 
目标 MAC | 发 送 源 MAC 


类 


地 址 | ”地 址 | 型 | 数据 部 分 区 
635 6375 2 字 节 ”46~1500 字 节 4 字 节 
ISL g 
ISL 包头 | BR S Be wu Al 数据 部 分 CRC | cRC 
26 字 节 6 字 节 6 字 节 2 字 节 ”46~1500 字 节 4 字 节 4 字 节 
WA VLAN emcee] [HALE 
编号 不 变 头 到 原 CRC 
为 止 重新 计 
CRC 


图 2-9 在 数据 帧 中 加 入 VLAN 识别 信息 (基于 ISL) 


VLAN”, 都 不 是 很 严格 的 称谓 。 在 不 同 的 书籍 与 参考 资料 中 ,上 述 词 语 有 可 能 被 混合 使 
用 ,大 家 在 学 习 时 要 格外 注意 。 由 于 ISL 是 Cisco 独 有 的 协议 ,因此 只 能 用 于 Cisco 网 络 
设备 之 间 的 互联 。 


5. 配置 实例 


ThreeFour Software 公司 有 两 个 主要 部 门 : 销售 部 和 技术 部 ,其 中 销售 部 门 的 个 人 
计算 机 系统 分 散 连接 在 不 同 楼 层 的 两 台 交 换 机 上 ,部 门 内 部 之 间 需 要 相互 通信 ,如 何在 交 
换 机 上 做 适当 配置 来 实现 这 一 目标 呢 ? 构建 如 图 2-10 所 示 网 络 结构 ,其 配置 过 程 如 下 : 


交换 机 A 交换 机 B 


PCA PCB PCC 
VLAN2 VLAN3 VLAN3 
192.168.1.10/24 — 192.168.1.20/24 192.168.1.30/24 
图 2-10 网 络 结构 


CD 在 交换 机 SwitchA 上 创建 vlan 2, 并 将 0/9 端口 划分 到 vlan 2 中 。 


SwitchA# conf ter 

SwitchA (config) #valn 2 
SwitchA(config-vlan)# name jjj 
SwitchA (config- vlan)#exit 

SwitchA (config) # int fast0/9 
SwitchA (config- if) #swit acc vlan 2 


© 在 交换 机 SwitchA 上 创建 vlan 3 .并 将 0/12 端口 划分 到 vlan 3 中 。 
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SwitchA (config) #vlan 3 

SwitchA(config_vlan)#name qep 

SwitchA (config- vlan) # exit 

SwitchA (config) # int fast0/12 

SwitchA (config- if) #swit acc vlan 3 

@ 把 交换 机 SwitchA 与 SwitchB 相连 的 端口 (通常 为 0/24 端口 ) 定 义 为 tag vlan 模 
st (trunk), 


SwitchA (config) # int fast0/24 
SwitchA (config- if) # swit mode trunk 


® 在 交换 机 SwitchB 上 创建 vlan 3 ,并 将 0/9 端口 划分 到 vlan 3 中 。 


SwitchB# conf ter 

SwitchB (config) # valn 3 

SwitchB (config- vlan) # name jjj 
SwitchB (config- vlan) # exit 

SwitchB (config) # int fast0/9 
SwitchB (config- if)# swit acc vlan 3 


© 把 SwitchB 连接 的 端口 (通常 为 0/24 端口 ) 定 义 为 tag vlan 模式 。 


SwitchB (config) # int fast0/24 
SwitchB (config- if) # swit mode trunk 


© 用 ping 测试 。 
2.3.2 VLAN 间 路 由 (不 同 VLAN 通信 ) 


1. VLAN 间 路 由 的 必要 性 


根据 所 学 的 知识 我 们 知道 ,两 台 计 算 机 即使 连接 在 同一 台 交 换 机 上 ,只 要 所 属 的 
VLAN 不 同 , 就 无 法 直接 通信 。 接 下 来 将 介绍 如 何在 不 同 的 VLAN 间 进 行路 由 ,使 分 属 
不 同 VLAN 的 主机 能 够 互相 通信 。 

首先 回顾 为 什么 不 同 VLAN 间 不 通过 路 由 就 无 法 通信 。 要 在 LAN 内 通信 ,必须 在 
数据 帧 头 中 指定 通信 目标 的 MAC 地 址 。 为 了 获取 MAC 地 址 ,TCP/IP 协议 下 使 用 的 是 
ARP. ARP 解析 MAC 地 址 是 要 通过 广播 。 也 就 是 说 ,如 果 广 播报 文 无 法 到 达 , 就 无 从 
解析 MAC 地 址 ,无 法 直接 通信 。 

计算 机 分 属 不 同 的 V LAN ,也 就 意味 着 分 属 不 同 的 广播 域 ,自然 收 不 到 彼此 的 广播 
报 文 。 因 此 ,属于 不 同 VLAN 的 计算 机 之 间 无 法 直接 通信 。 为 了 能 够 在 VLAN 间 通 信 ， 
需要 利用 OSI 参考 模型 中 更 高 的 一 层 一 一 网 络 层 信息 (IP 地 址 ) 进 行路 由 。 关 于 路 由 的 
有 具体 内 容 , 将 在 后 面 章节 中 详细 介绍 。 

路 由 功能 主要 由 路 由 器 提供 。 在 今天 的 局 域 网 里 经 常 利用 带 有 路 由 功能 的 交换 
机 一 一 三 层 交 换 机 (Layer 3 Switch) 来 实现 。 下 面 将 介绍 使 用 路 由 器 和 三 层 交 换 机 进行 
VLAN 间 路 由 的 情况 。 
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在 使 用 路 由 器 进行 VLAN 间 路 由 时 ,与 构建 横 跨 多 台 交 换 机 的 VLAN 时 的 情况 类 
似 , 还 是 会 遇 到 “该 如 何 连接 路 由 器 与 交换 机 ”这 个 问题 。 路 由 器 和 交换 机 的 接线 方式 大 
致 有 两 种 ,一 种 是 将 路 由 器 与 交换 机 上 的 每 个 VLAN 分 别 连接 ; 另 一 种 是 不 论 VLAN 有 
多 少 个 ,路 由 器 与 交换 机 都 只 用 一 条 网 线 连接 。 

最 容易 想到 的 ,当然 是 把 路 由 器 和 交换 机 以 VLAN 为 单位 分 别 用 网 线 连 接 。 即 将 交 
换 机 上 用 于 和 路 由 器 互联 的 每 个 端口 设 为 访问 链接 ,然后 分 别 用 网 线 与 路 由 器 上 的 独立 
端口 互联 。 如 图 2-11 所 示 ,交换 机 上 有 2 个 VLAN ,就 需要 在 交换 机 上 预 留 2 个 端口 用 
于 与 路 由 器 互联 ,在 路 由 器 上 同样 需要 有 2 个 端口 ,两 者 之 间 用 2 条 网 线 分 别 连接 。 


路 由 器 
连接 VLAN 1 的 路 由 器 端口 | 过 连接 VLAN 2 的 路 由 器 端口 


交换 机 


图 2-11 路 由 器 与 交换 机 上 的 每 个 VLAN 分 别 连接 


采用 这 种 办 法 ,其 扩展 性 很 成 问题 。 每 增加 一 个 新 的 VLAN, 都 需要 消耗 路 由 器 的 
端口 和 交换 机 上 的 访问 链接 ,还 需要 重新 布设 一 条 网 线 。 而 路 由 器 通常 不 会 带 有 太 多 
LAN 接口 。 新 建 VLAN 时 ,为 了 对 应 增加 的 VLAN 所 需 的 端口 ,必须 将 路 由 器 升级 成 
带 有 多 个 LAN 接口 的 高 端 产 品 ,这 部 分 成 本 以 及 重新 布线 的 开销 都 使 得 这 种 接线 法 不 
受 欢 迎 。 

那么 ,第 二 种 办 法 “不 论 VLAN 有 和 多少 个 ,路 由 器 与 交换 机 都 只 用 一 条 网 线 连接 ”是 
如 何 做 的 呢 ? 当 使 用 一 条 网 线 连接 路 由 器 与 交换 机 进行 VLAN 间 路 由 时 ,需要 用 到 汇聚 
链接 ,其 具体 实现 过 程 为 : 首先 ,将 用 于 连接 路 由 器 的 交换 机 端口 设 为 汇聚 链接 ,路 由 器 
上 的 端口 也 必须 支持 汇聚 链 路 。 双 方 用 于 汇聚 链 路 的 协议 必须 相同 。 其 次 ,在 路 由 器 上 
定义 对 应 各 个 VLAN 的 子 接口 (Sub-Interface) 。 尽 管 实际 与 交换 机 连接 的 物理 端口 只 
有 一 个 ,但 在 理论 上 可 以 把 它 分 割 为 多 个 虚拟 端口 ， 如 图 2-12 所 示 。 


支持 汇聚 链 路 的 路 由 器 
连接 VLAN 1 的 子 接口 连接 VLAN 2 的 子 接口 


交换 机 B 


汇聚 链接 


图 2-12 路 由 器 与 交换 机 只 用 一 条 网 线 连接 
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VLAN 将 交换 机 从 逻辑 上 分 割 成 多 台 交换 机 ,因而 用 于 VLAN 间 路 由 的 路 由 器 必 
须 拥有 对 应 各 个 VLAN 的 虚拟 接口 。 

采用 这 种 方法 ,即使 以 后 在 交换 机 上 新 建 VLAN, 仍 只 需要 一 条 网 线 连接 交换 机 
和 路 由 器 。 用 户 只 需要 在 路 由 器 上 新 设 一 个 对 应 新 VLAN 的 子 接口 就 可 以 了 。 与 
前 面 的 方法 相 比 ,其 扩展 性 强 得 多 ,也 不 需要 升级 LAN 接口 数 不 足 的 路 由 器 或 重新 
布线 。 


2. 同一 VLAN 内 的 通信 


下 面 介绍 使 用 汇聚 链 路 连接 交换 机 与 路 由 器 时 ,VLAN 间 如 何 路 由 。 如 图 2-13 所 
示 , 为 各 台 计 算 机 以 及 路 由 器 的 子 接口 设 定 IP 地 址 。 


路 由 器 端口 的 
MAC 地 址 : R 


连接 VLAN 1 的 子 接口 连接 VLAN 2 的 子 接口 
192.168.1.100/24 192.168.2.100/24 


1 2 3 4 5 6 


ga E Tek 
d á da 


A B c D 
192.168.1.1/24 192.168.1.2/24 192.168.2.1/24 — 192.168.2.2/24 
GW192.168.1.100 GW192.168.1.100 GW192.168.2.100 GW192.168.2.100 


图 2-13 设置 对 应 各 个 VLAN 的 虚拟 接口 


VLAN 1(VLAN ID=1) 的 网 络 地 址 为 192. 168. 1.0/24,VLAN 2(VLAN ID=2) 的 
网 络 地 址 为 192. 168. 2. 0/24。 各 台 计 算 机 的 MAC 地 址 分 别 为 A,B,C,D, 路 由 器 汇聚 链 
接 端 口 的 MAC 地 址 为 RR。 交 换 机 通过 对 各 端口 所 连 计 算 机 MAC 地 址 的 学 习 , 生 成 一 个 
MAC 地 址 列表 。 

首先 考虑 计算 机 A 与 同一 VLAN 内 的 计算 机 B 之 间 通 信 的 情形 。 计 算 机 A 发 出 
ARP 请 求 信息 ,请 求解 析 B 的 MAC 地 址 。 交 换 机 收 到 数据 帧 后 ,检索 MAC 地 址 列表 中 
与 收 信 端 口 同 属 一 个 VLAN 的 表 项 。 结 果 发 现 计算 机 B 连接 在 端口 2 上 ,于 是 交换 机 将 
数据 帧 转发 给 端口 2, 最 终 计 算 机 B 收 到 该 帧 。 对 于 收 , 发 信 双 方 同 属 一 个 VLAN 的 通 
言 ,一 切 处 理 均 在 交换 机 内 完成 。 如 图 2-14 所 示 。 


3. 不 同 VLAN 间 通 信 时 数据 的 流程 


考虑 计算 机 A 与 计算 机 C 之 间 通 信 的 情况 。 计 算 机 A 从 通信 目标 的 IP 地 址 
(192. 168. 2. 1) 得 出 计算 机 C 与 本 机 不 属于 同一 个 网 段 ,因此 向 设 定 的 默认 网 关 (Default 
Gateway) 转 发 数据 帧 。 在 发 送 数据 帧 之 前 ,需要 先 用 ARP 获取 路 由 器 的 MAC 地 址 。 

交换 机 得 到 路 由 器 的 MAC 地 址 R 后 ,将 按 图 2-15 所 示 的 步骤 向 C 发 送 数据 帧 。 图 
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路 由 器 端口 的 
MAC 地 址 : R 
Dm ee. [ERVLAN viri 连接 VLAN 2 的 子 接口 
交换 机 内 部 完成 192.168.1.100/24 192.168.2.100/24 
IN 2 3 4 S jó 
交换 机 
源 MAC :A; 目 标 MAC:B 


源 IP: 192.168.1.1/24 

目标 IP:192.168.1.2/24 
数据 帧 

LJ 


D 


A 
192.168. 1.1/24 192.168. 1.2/24 192.168.2.1/24 — 192.168.2.2/24 
GW192.168.1.100 GW192.168.1.100 GW192.168.2.100 GW192.168.2.100 


图 2-14 同一 VLAN 中 的 数据 传输 
中 ,在 的 数据 帧 中 ,目标 MAC 地 址 是 路 由 器 的 地 址 R, 内 含 的 目标 IP 地 址 仍 是 最 终 的 
通信 对 象 C 的 地 址 。 这 一 部 分 内 容 涉 及 局 域 网 内 经 过 路 由 器 转发 的 步骤 。 


路 由 器 端口 的 
MAC 地 址 : R 


连接 VLAN 2 的 子 接口 
192.168.2.100/24 


1 2 


® 交换 机 
源 MAC: A; 目 标 MAC:B 
源 IP: 192.168.1.1/24 

目标 IP:192.168.2.1/24 


数据 帧 


3 4 
N 数据 帧 | 目标 IP:192.168.2.1/24 


À 


5 
OH o 
Ji MAC: B; 目 标 MAC:C 
源 IP; 192.168.1.1/24 
C 


4 


A 
192.168.1.1/24 192.168.1.2/24 192.168.2.1/24 192.168.2.2/24 
GW192.168.1.100 GW192.168.1.100 GW192.168.2.100 GW192.168.2.100 


图 2-15 不 同 VLAN 间 通 信 时 数据 的 流程 


交换 机 在 端口 1 上 收 到 外 的 数据 帧 后 ,检索 MAC 地 址 列表 中 与 端口 1 同属 一 个 
VLAN 的 表 项 。 由 于 汇聚 链 路 会 被 看 做 属于 所 有 的 VLAN, 因 此 这 时 交换 机 的 端口 6 也 
属于 被 参照 对 象 。 这 样 ,交换 机 就 知道 往 MAC 地 址 R 发 送 数据 帧 ,需要 经 过 端口 6 
转发 。 

从 端口 6 发 送 数据 帧 时 ,由 于 它 是 汇聚 链接 ,会 被 附加 VLAN 识别 信息 。 由 于 是 来 
自 VLAN 1 的 数据 帧 ,因此 如 图 2-15 PORR ,会 被 加 上 VLAN 1 的 识别 信息 后 进入 汇 
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聚 链 路 。 路 由 器 收 到 @ 的 数据 帧 后 ,确认 其 VLAN 识别 信息 ,由 于 它 是 属于 VLAN 1 的 
数据 帧 ,因此 交 由 负责 红色 VLAN 的 子 接口 接收 。 

接着 ,根据 路 由 器 内 部 的 路 由 表 判 断 该 向 哪里 转发 。 

由 于 目标 网 络 192. 168. 2. 0/24 是 VLAN 2, 且 该 网 络 通过 子 接口 与 路 由 器 直 连 , 因 
此 只 要 从 负责 VLAN 2 的 子 接口 转发 就 可 以 了 。 这 时 ,数据 帧 的 目标 MAC 地 址 被 改写 
成 计算 机 C 的 目标 地 址 ,并 且 由 于 需要 经 过 汇聚 链 路 转发 ,因此 被 附加 了 属于 VLAN 2 
的 识别 信息 。 这 就 是 图 中 国 的 数据 帧 。 

交换 机 收 到 @ 的 数据 帧 后 ,根据 VLAN 标识 信息 从 MAC 地 址 列表 中 检索 属于 
VLAN? 的 表 项 。 由 于 通信 目标 计算 机 C 连接 在 端口 3 上 ,并 且 端 口 3 为 普通 的 访问 链 
接 , 因 此 交换 机 将 数据 帧 除去 VLAN 识别 信息 后 (数据 帧 田 ) 转 发 给 端口 3, 使 计算 机 C 
成 功 地 收 到 这 个 数据 帧 。 

VLAN 间 通 信和 时 ,即使 通信 双方 连接 在 同一 台 交 换 机 上 ,也 必须 经 过 “发 送 方 一 交换 
机 一 路 由 器 一 交换 机 一 接收 方 ”这 样 一 个 流程 。 


任务 24 交换 网 络 中 的 元 余 链 路 管理 


随 着 交换 技术 在 网 络 中 的 普遍 应 用 ,保证 各 种 网 络 终端 (包括 服务 器 ) 设 备 间 正常 通 
信 成 为 一 项 重要 的 任务 。 在 绝 大 多 数 情况 下 ,在 交换 设备 之 间 用 多 条 链 路 连接 ,形成 元 余 
链 路 ,以 保证 线路 上 的 单 点 故障 不 会 影响 正常 的 网 络 通信 。 但 交换 机 的 基本 工作 原理 导 
致 这 样 的 设计 会 在 交换 网 络 中 产生 严重 的 广播 风暴 。 本 节 将 介绍 在 交换 网 络 中 既 能 保证 
元 余 链 路 提供 链 路 备份 ,又 避免 广播 风暴 的 技术 一 一 生成 树 技术 。 


2.4.1 交换 机 网 络 中 的 完 余 链 路 


在 由 许多 交换 机 或 交换 设备 组 成 的 网 络 环境 中 通常 使 用 一 些 备份 连接 ,以 提高 网 络 
的 健壮 性 和 稳定 性 。 备 份 连接 也 叫 备份 链 路 、 元 余 链 路 。 备 份 链 路 如 图 2-16 Bron ,交换 
机 SWI 与 交换 机 SW3 的 端口 1 之 间 的 链 路 就 是 一 条 备份 连接 。 在 主 链 路 (交换 机 SWI 
5j SW2 的 端口 2 之 间 的 链 路 ,或 者 交换 机 SW2 swi 
的 端口 1 与 交换 机 SW3 的 端口 2 之 间 的 链 路 ) 


SW. 
一 一 一 一 一 
出 现 故障 时 ,备份 链 路 自动 启用 ,提高 了 网 络 的 > 
mA 


2 


整体 可 靠 性 。 SW3 
使 用 完 余 备份 能 够 提高 网 络 的 健壮 性 、 稳 定 
性 和 可 靠 性 ,但 是 备份 链 路 使 网 络 存在 环 路 。 在 
图 2-16 中 ,SW1 一 SW2 一 SW3 就 是 一 个 环 路 。 rc: m- 
环 路 是 备份 链 路 面临 的 最 严重 的 问题 ,将 导致 广 图 2-16 备份 链 路 


VOD 
服务 器 
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播 风暴 、 多 帧 复制 以 及 不 稳定 的 MAC 地 址 表 等 。 


2.4.2 以 太 网 链 路 聚合 


1. 网 络 压 力 


对 于 局 域 网 交换 机 之 间 以 及 从 交换 机 到 高 需求 服务 的 许多 网 络 连接 来 说 ,100Mbps 
甚至 1Gbps 的 带宽 是 不 够 的 。 链 路 聚合 (也 称 为 端口 聚合 ) 技 术 帮 助 用 户 减 小 了 这 种 
FRA. 

IEEE 802. 3ad 标准 定义 了 如 何 将 两 条 以 上 的 以 太 网 链 路 组 合 起 来 ,为 高 带宽 网 络 连 
接 提 供 负载 共享 .负载 平衡 以 及 更 好 的 弹性 。 端 口 聚合 将 交换 机 上 的 多 个 端口 在 物理 上 
连接 起 来 ,在 逻辑 上 捆绑 在 一 起 ,成 为 一 个 拥有 较 大 带宽 的 端口 ,形成 一 条 干 路 ,实现 负载 
均衡 ,并 提供 宛 余 链 路 。 

mO RAAP, Aggregate Por 符合 


IEEE 802. 3ad 标准 , 它 把 多 个 端口 的 带 | 

SE IRE LM) 2-17 Br. Hen. TT 

全 双 工 快速 以 太 网 端口 形成 的 AP 最 大 Í 

可 以 达到 800Mbps ,或 者 千 兆 以 太 网 接口 waman FER owa 


形成 的 AP 最 大 可 以 达到 8Gbps。 | | 
IEEE 802. 3ad 的 主要 优点 如 下 : indio x 5 ron 


CD 链 路 聚合 技术 (也 称 端口 聚合 ) 帮 di m 
助 用 户 减 少 网 络 带宽 不 足 的 压力 。 po mum. sin p. 
Q 具有 可 靠 性 。 图 2-17 端口 聚合 


© 链 路 聚合 标准 在 点 到 点 链 路 上 提 
供 了 固有 的 、 自 动 的 元 余 性 。 


2. 流量 平衡 
AP 根据 报 文 的 MAC 地 址 或 IP 地 址 进行 流量 平衡 , 即 把 流量 平均 地 分 配 到 AP 的 


成 员 链 路 中 。 流 量 平 衡 可 以 根据 源 MAC 地 址 /目的 MAC 地 址 或 源 IP 地 址 /目的 IP 地 
址 对 来 完成 。 


3. 配置 AP 


(1) 配置 二 层 AP 

可 以 通过 全 局 配置 模式 下 的 interface aggregateport 命令 手动 创建 一 个 AP. Hie 
二 ,三 层 物理 接口 如 何 , 当 把 接口 加 入 一 个 不 存在 的 AP 时 ,AP 会 被 自动 创建 。 无 论 二 、 
三 层 物理 接口 如 何 , 都 可 以 使 用 接口 配置 模式 下 的 port-group 命令 加 入 一 个 AP. 

用 户 可 以 使 用 接口 配置 模式 下 的 port-group 命令 ,将 一 个 以 太 网 接口 配置 成 一 个 
AP 的 成 员 口 。 从 特权 模式 出 发 , 按 以 下 步骤 将 以 太 网 接口 配置 成 一 个 AP 接口 的 成 
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pai 
H 


Switch# configure terminal 
Switch(config) # interface interface- id ! 选 择 端 口 ,进入 接口 配置 模式 
Switch (config- if)# port- group port- group- number 
! 将 该 接口 加 入 一 个 AP (ü 3x AP 不 存在 , 则 同时 创建 该 ap) 。 
Switch (config- if- range) #end ! 回 到 特权 模式 
在 接口 配置 模式 下 使 用 no port-group 命令 将 删除 一 个 AP 成 员 接口 。 
下 面 的 例子 是 将 二 层 以 太 网 接口 0/1 和 0/2 配置 成 二 层 AP 5 成 员 。 


Switch# configure terminal 

Switch (config)# interface range fastethernet 0/1- 2 

Switch (config- if- range) # port- group 5 

Switch (config- if- range)# end 

可 以 在 全 局 配置 模式 下 使 用 命令 interface aggregatepor n(n 为 AP 号 ) 来 直接 创建 
一 个 AP( 如 果 AP n 不 存在 )。 

(2) 配置 三 层 AP 

默认 情况 下 ,AP 是 二 层 的 ,如 果 要 配置 三 层 AP, 需 要 进行 下 面 的 操作 。 

从 特权 模式 出 发 , 按 以 下 步 又 配置 三 层 AP 接口 : 


Switch# configure terminal 


Switch (config) # interface aggregate- port aggregate- port- number ! 创 建 一 个 AP 
Switch (config- if)# no switchport ! 将 该 接口 设置 为 三 层 模式 
Switch (config- if)# ip address ip- address mask ! 给 了 配置 TP 地 址 和 子 网 掩 码 


Switch (config- if)#end 
下 面 的 例子 是 配置 一 个 三 层 AP(AP3) 并 给 它 配置 IP 地 址 (192. 168. 1. D. 


Switch# configure terminal 

Switch (config) #interface aggregate- port 3 

Switch (config- if)#no switchport 

Switch (config- if)# ip address 192.168.1.1 255.255.255.0 
Switch (config- if)# end 


(3) 配置 AP 的 流量 平衡 算法 
Switch (config) #aggregateport load- balance {dst-mac |src-mac lip] 


其 中 ,dst-mac 是 根据 报 文 的 目的 MAC 地 址 进行 流量 分 配 ; src-mac 是 根据 报 文 的 源 
MAC 地 址 进行 流量 分 配 ;ip 是 根据 源 IP 与 目的 IP 进行 流量 分 配 。 在 三 层 条 件 下 ,建议 
采用 此 流量 平衡 方式 。 

要 将 AP 的 流量 平衡 设置 恢复 到 默认 值 , 可 以 在 全 局 配置 模式 下 使 用 no 
aggregateport load-balance 命令 。 

(4) 显示 aggregate port 

可 以 在 特权 模式 下 显示 AP 设置 。 


show aggregateport [port- number]{load-balancel summary} 


43 


网 络 管理 技术 


(5) 配置 AP 的 注意 事项 

CD 组 端口 的 速度 必须 一 致 ; 

© 组 端口 必须 属于 同一 个 VLAN; 

© 组 端口 使 用 的 传输 介质 相同 ; 

@ 组 端口 必须 属于 同一 层次 ,并 与 AP 在 同一 层次 。 


任务 25 配置 生成 树 协议 (STPIRSTP) 


在 由 交换 机 构成 的 交换 网 络 中 通常 设计 有 元 余 链 路 和 设备 。 这 种 设计 的 目的 是 防止 
一 个 点 的 失败 导致 整个 网 络 功能 的 丢失 。 虽 然 元 余 设计 可 能 消除 单 点 失败 问题 ,但 导致 
了 交换 回路 的 产生 , 带 来 了 如 下 问题 ; 广播 风暴 ,多 帧 复制 和 地 址 表 不 稳定 。 因 此 ,在 交 
换 网络 中 必须 有 一 个 机 制 来 阻止 回路 ,生成 树 协议 (Spanning Tree Protocol) 的 作用 正在 
于 此 。 

生成 树 协议 定义 在 IEEE 802. 1d 中 ,是 一 种 桥 到 桥 的 链 路 管理 协议 , 它 在 防止 产生 
自 循 环 的 基础 上 提供 路 径 宛 余 ,因此 其 主要 作用 是 避免 回路 ,元 余 备 份 。 为 使 以 太 网 更 好 
地 工作 ,两 个 工作 站 之 间 只 能 有 一 条 活动 路 径 。 网 络 环 路 的 发 生 有 多 种 原因 ,最 常见 的 是 
故意 生成 的 元 余 ,一 条 链 路 或 交换 机 失败 ,会 有 另 一 条 链 路 或 交换 机 替代 。 

生成 树 协议 的 主要 思想 就 是 当 网 络 中 存在 备份 链 路 时 ,只 允许 主 链 路 激活 ;如 果 主 链 
路 因 故 障 而 被 断 开 后 ,备用 链 路 才 会 被 打开 。 

生成 树 协 议 划 分 成 三 代 , 即 第 一 代 生 成 树 协议 STP/RSTP、 第 二 代 生 成 树 协议 
PVST/PVST 十 和 第 三 代 生 成 树 协 议 MISTP/MSTP, 


2.5.1 生成 树 协议 工作 原理 


1. 生成 树 协议 简介 


生成 树 协议 的 使 用 基于 以 下 几 点 : 

(D 有 一 个 唯一 的 组 地 址 (01-80-C2-00-00-00) 标 识 一 个 特定 LAN 上 的 所 有 交换 机 。 
这 个 组 地 址 能 被 所 有 的 交换 机 识别 。 

@ 每 台 交 换 机 有 一 个 唯一 的 标识 (Bridge Identifier) 。 

C) 每 台 交 换 机 的 端口 有 一 个 唯一 的 端口 标识 (Port Identifier) 。 

对 生成 树 的 配置 进行 管理 还 需要 对 每 台 交 换 机 调 协 一 个 相对 的 优先 级 ;对 每 台 交 换 
机 的 每 个 端口 调 协 一 个 相对 的 优先 级 ;对 每 个 端口 调 协 一 个 路 径 花 费 。 

具有 最 高 优先 级 的 交换 机 称 为 根 (root) 交 换 机 。 每 台 交 换 机 端口 都 有 一 个 根 路 径 花 
费 , 根 路 径 花 费 是 该 交换 机 到 根 交换 机 所 经 过 的 各 个 路 段 的 路 径 花 费 的 总 和 。 在 一 台 
换 机 中 , 根 路 径 花费 的 值 最 低 的 端口 称 为 根 端口 。 若 有 多 个 端口 具有 相同 的 根 路 径 花费 ， 
则 具有 最 高 优先 级 的 端口 为 根 端口 。 
44 


学 习 情 境 2 局 域 网 中 的 广播 流量 管理 


在 每 个 LAN 中 都 有 一 台 交 换 机 被 称 为 指定 (designated) 交 换 机 , 它 是 该 LAN 中 根 


路 径 花费 最 少 的 交换 机 。 把 LAN 和 指定 交换 机 连接 起 
来 的 端口 就 是 LAN 的 指定 端口 (designated port) 。 如 果 
指定 交换 机 中 有 两 个 以 上 的 端口 连 在 这 个 LAN 上 , 则 具 
有 最 高 优先 级 的 端口 被 选 为 指定 端口 ,其 拓扑 结构 如 


图 2-18 所 示 。 


由 于 交换 机 A 具有 最 高 优先 级 ( 桥 标识 最 低 ) ,被 选 | D 
为 根 交 换 机 ,所 以 交换 机 A 是 LAN A fl LAN B 的 指定 


交换 机 。 假 设 交换 机 B 的 根 路 径 花 费 为 6, 交换 机 C 的 根 
路 径 花费 为 4, 那 么 交换 机 C 被 选 为 LAN C 的 指定 交换 


交换 机 A 
1 12121212 2 
D D 
6 (LANA 
D cw 
交换 机 B 4 jR 
1313 交换 机 C 
TANG 15151515 
D 
D: 指定 端口 
R: 根 端口 


图 2-18 根 交 换 机 和 根 端口 


机 , 即 LAN C 与 交换 机 A 之 间 的 消息 通过 交换 机 C 转 
发 ,而 不 是 通过 交换 机 B。LAN C 与 交换 机 B 之 间 的 链 路 是 一 条 元 余 链 路 。 


2. BPDU 编码 


交换 机 之 间 定 期 发 送 BPDU 包 , 交 换 生 成 树 配 置信 息 , 以 便 对 网 络 的 拓扑 、 花 费 或 优 
先 级 的 变化 及 时 响应 。BPDU 分 为 两 种 类 型 ,包含 配置 信息 的 BPDU 包 称 为 配置 BPDU 
(Configuration BPDU); 当 检测 到 网 络 拓 扑 结 构 变 化 时 ,要 发 送 拓扑 变化 通知 BPDU 
(Topology Change Notification BPDU)。 配 置 BPDU 编码 如 图 2-19 所 示 ,拓扑 变化 通知 
BPDU 编码 如 图 2-20 所 示 。 


Protocol Protocol Version 
Identifies Identifies Type 


BPDU 


Flags 


Root Identifies 


Root Path Cost 


Bridge Identifies 


Port Identifies 


Message Age 


Max-Age Time 


Hello Time 


Forward Delay Time 


图 2-19 配置 BPDU 编码 


0 1 


2 3 


Protocol Identifies 


Protocol Version 
Identifies 


BPDU Type 


图 2-20 拓扑 变化 通知 BPDU 编码 


对 于 配置 BPDU ,超过 35 字 节 以 外 的 字 节 将 被 忽略 ;对 于 拓扑 变化 通知 BPDU ,超过 
4 字 节 以 外 的 字 节 将 被 忽略 。 
BPDU 的 组 成 说 明 如 下 : 


(D 版 本 号 : 00(IEEE 802. 1d) ;02(IEEE 802. 1w) 


@ Bridge ID; 交换 机 ID 王 交换 机 优先 级 十 交换 机 MAC 地 址 
(3 Root ID; 根 交换 机 ID 


45 


网 络 管理 技术 


® Root Path Cost; 到 达 根 的 路 径 开销 

© Port ID; 发 送 BPDU 的 端口 ID 三 端口 优先 级 十 端口 编号 
© Hello Time; 定期 发 送 BPDU 的 时 间 间 隔 

(D Max-Age Time: 保留 对 方 BPDU 消息 的 最 长 时 间 

(& Forward-Delay Time; 发 送 延 时 ,端口 状态 改变 的 时 间 间 隔 
O 其 他 表示 发 现 网 络 拓扑 变化 、 本 端口 状态 的 标志 位 


2.5.2 形成 一 个 生成 树 所 必须 决定 的 要 素 


1. 决定 根 交 换 机 


(D 交换 机 的 Bridge ID 由 两 部 分 构成 : 优先 级 和 MAC 地 址 ; 

@ 最 开始 ,所 有 的 交换 机 都 认为 自己 是 根 交换 机 ; 

© 交换 机 向 与 之 相连 的 LAN 广播 发 送 配 置 BPDU, 其 root id 与 bridge id 的 值 
相同 ; 

QD 当 交 换 机 收 到 另 一 台 交 换 机 发 来 的 配置 BPDU 后 ,车 发 现 其 中 root_id 字段 的 值 
大 于 该 交换 机 中 root. id 参数 的 值 , 则 丢弃 该 帧 ;否则 更 新 该 交换 机 的 root_id、 根 路 径 花 
费 root_path_cost 等 参数 的 值 , 该 交换 机 将 以 新 值 继 续 广 播发 送 配置 BPDU。 


2. 决定 根 端口 


在 交换 机 中 , 根 路 径 花费 的 值 最 低 的 端口 称 为 根 端口 。 若 有 多 个 端口 具有 相同 的 最 
低 根 路 径 花 费 , 则 具有 最 高 优先 级 的 端口 为 根 端口 。 若 有 两 个 或 多 个 端口 具有 相同 的 最 
低 根 路 径 花 费 和 最 高 优先 级 , 则 端口 号 最 小 的 为 默认 的 根 端口 。 

在 生成 树 的 选举 过 程 中 ,应 遵循 以 下 优先 顺序 来 选择 最 佳 路 径 : 

CD 比较 到 达 根 的 路 径 开 销 ; 

© 比较 发 送 者 的 Bridge ID; 

© 比较 发 送 者 的 Port ID; 

@ 比较 本 交换 机 的 Port ID。 


2.5.3 认定 LAN 的 指定 交换 机 


开始 时 ,所 有 交换 机 都 认为 自己 是 LAN 的 指定 交换 机 。 当 交换 机 接收 到 具有 更 低 
根 路 径 花费 的 (同一 个 LAN 中 ) 其 他 交换 机 发 来 的 BPDU 时 ,该 交换 机 就 不 再 宣称 自己 
是 指定 交换 机 。 如 果 在 一 个 LAN 中 有 两 台 或 多 台 交 换 机 具有 同样 的 根 路 径 花费 ,具有 
最 高 优先 级 的 交换 机 先 为 指定 交换 机 。 在 一 个 LAN 中 ,只 有 指定 交换 机 可 以 接收 和 转 
发 帧 ,其 他 交换 机 的 所 有 端口 都 被 置 为 阻塞 状态 。 

如 果 指 定 交换 机 在 某 个 时 刻 收 到 了 LAN 上 其 他 交换 机 因 竞 争 指定 交换 机 而 发 来 的 
配置 BPDU ,该 指定 交换 机 将 发 送 一 个 回应 的 配置 BPDU ,以 重新 确定 指定 交换 机 。 
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1. 决定 指定 端口 


在 LAN 的 指定 交换 机 中 ,与 该 LAN 相连 的 端口 为 指定 端口 。 若 指定 交换 机 有 两 个 
或 多 个 端口 与 该 LAN 相连 ,那么 具有 最 低 标识 的 端口 为 指定 端口 。 

除了 根 端口 和 指定 端口 外 ,其 他 端口 都 将 置 为 阻塞 状态 。 这 样 ,在 决定 了 根 交换 机 、 
交换 机 的 根 端口 以 及 每 个 LAN 的 指定 交换 机 和 指定 端口 后 ,一 个 生成 树 的 拓扑 结构 就 
产生 了 。 


2. STP 生成 树 形成 方法 


D 网 络 中 选择 一 台 交 换 机 为 根 交换 机 (Root Bridge) ; 

O 除根 交换 机 外 的 每 台 交 换 机 都 有 一 个 根 口 (Root Port) ,提供 最 短路 径 到 根 交 换 机 
的 端口 ; 

© 每 台 交换 机 都 计算 出 到 根 交 换 机 的 最 短路 径 ， 

QD 每 个 LAN 都 有 指定 交换 机 (Designated Bridge) ,位 于 该 LAN 与 根 交 换 机 之 间 的 
最 短路 径 中 。 指 定 交 换 机 和 LAN 相连 的 端口 称 为 指定 端口 (Designated Port); 

© 根 口 和 指定 端口 进入 转发 (Forwarding) 状 态 ; 

© 其 他 元 余 端 口 处 于 阻塞 (Blocking 或 Discarding) RÆ. 


2.5.4 拓扑 变化 


拓扑 信息 在 网 络 上 的 传播 有 一 个 时 间 限 制 ,该 时 间 信 息 包含 在 每 个 配置 BPDU H, 
即 消息 时 限 。 每 台 交 换 机 存储 来 自 LAN 指定 端口 的 协议 信息 ,并 监视 这 些 信 息 存 储 的 
时 间 。 在 正常 稳定 状态 下 , 根 交换 机 定期 发 送 配 置 消息 以 保证 拓扑 信息 不 超时 。 如 果 根 
交换 机 失效 ,其 他 交换 机 中 的 协议 信息 就 会 超时 ,新 的 拓扑 结构 很 快 在 网 络 中 传播 。 

当 某 台 交 换 机 检测 到 拓扑 变化 时 , 它 向 根 交 换 机 方向 的 指定 交换 机 以 拓扑 变化 通知 
定时 器 的 时 间 间 隔 定期 发 送 拓扑 变化 通知 BPDU ,直到 收 到 指定 交换 机 发 来 的 确认 拓扑 
变化 信息 (这 个 确认 信号 在 配置 BPDU 中 , 即 拓扑 变化 标志 位 置 位 )。 指 定 交换 机 重复 以 
上 过 程 ,继续 向 根 交 换 机 方向 的 交换 机 发 送 拓扑 变化 通知 BPDU。 这 样 ,拓扑 变化 的 通知 
最 终 传 到 根 交换 机 。 根 交换 机 收 到 这 个 通知 ,或 其 自身 改变 了 拓扑 结构 ,将 发 送 一 段 时 间 
的 配置 BPDU。 在 配置 BPDU 中 ,拓扑 变化 标志 位 被 置 位 。 所 有 交换 机 将 会 收 到 一 条 或 
多 条 配置 消息 ,并 使 用 转发 延 时 参数 的 值 来 更 新 过 滤 数 据 库 中 的 地 址 。 所 有 交换 机 将 重 
新 决定 根 交换 机 、 交 换 机 的 根 端口 以 及 每 个 LAN 的 指定 交换 机 和 指定 端口 ,生成 树 的 拓 
扑 结构 也 就 重新 决定 了 。 


2.5.5 STP 的 端口 状态 


运行 生成 树 协议 的 交换 机 上 的 端口 总 是 处 于 下 面 四 个 状态 中 的 一 个 : 
CD 阻塞 : 所 有 端口 以 阻塞 状态 启动 ,以 防止 回路 。 由 生成 树 确定 哪个 端口 切换 为 转 
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发 状态 ,处 于 阻塞 状态 的 端口 不 转发 数据 帧 ,但 可 接收 BPDU。 

@ 监听 : 不 转发 数据 帧 ,但 检测 BPDU( 临 时 状态 ) 。 

© 学 习 : 不 转发 数据 帧 ,但 学 习 MAC 地 址 表 ( 临 时 状态 ) 。 

@ 转发 : 可 以 传送 和 接收 数据 帧 。 

在 正常 操作 期 间 ,端口 处 于 转发 或 阻塞 状态 。 当 检测 到 网 络 拓扑 结构 有 变化 时 ,交换 
机 会 自动 进行 状态 转换 。 在 此 期 间 ,端口 暂时 处 于 监听 和 学 习 状 态 。 

生成 树 经 过 一 段 时 间 ( 默 认 值 是 50s) 稳 定之 后 ,所 有 端口 要 么 进入 转发 状态 ,要 么 进 
入 阻塞 状态 。STP BPDU 仍然 会 定时 从 各 个 网 桥 的 指定 端口 发 出 ,以 维护 链 路 的 状态 。 
如 果 网 络 拓扑 发 生变 化 ,生成 树 将 重新 计算 ,端口 状态 随 之 改变 。 

当 拓 扑 发 生变 化 时 ,新 的 配置 消息 要 经 过 一 定 的 延 时 才能 传播 到 整个 网 络 , 这 个 延 
时 称 为 Forward Delay, 协 议 默认 值 是 15s。 在 所 有 网 桥 收 到 这 个 变化 的 消息 之 前 , 若 旧 
拓扑 结构 中 处 于 转发 的 端口 还 没有 发 现 自己 应 该 在 新 的 拓扑 中 停止 转发 , 则 可 能 存在 
临时 环 路 。 为 了 解决 临时 环 路 的 问题 ,生成 树 使 用 了 一 种 定时 器 策略 , 即 在 端口 从 
阻塞 状态 到 转发 状态 中 间 加 上 一 个 只 学 习 MAC 地 址 但 不 参与 转发 的 中 间 状 态 ,两 
次 状态 切换 的 时 间 长 度 都 是 Forward Delay, 以 保证 在 拓扑 变化 的 时 候 不 会 产生 临时 
环 路 。 但 是 ,这 个 看 似 良 好 的 解决 方案 实际 上 带 来 的 是 至 少 两 倍 Forward Delay 的 收 
敛 时 间 。 

在 默认 情况 下 ,交换 机 端口 由 阻塞 状态 到 侦 听 状态 的 转发 时 间 为 20s。 


2.5.6 快速 生成 树 协议 


为 了 解决 STP 协议 收敛 时 间 长 这 个 缺陷 ,在 21 世纪 初 IEEE 推出 了 802. 1w 标准 ， 
作为 对 802. 1d 标准 的 补充 。 在 IEEE 802. 1w 标准 里 定义 了 快速 生成 树 协议 (RSTP， 
Rapid Spanning Tree Protocol) 。RSTP 协议 在 STP 协议 基础 上 做 了 三 点 重要 改进 ,使 
得 收敛 速度 快 得 多 (最 快 1s UA). 

第 一 点 改进 : 为 根 端口 和 指定 端口 设置 了 快速 切换 用 的 替换 端口 (Alternate Port) RI 
备份 端口 (Backup Port) 。 在 根 端口 /指定 端口 失效 的 情况 下 ,替换 端口 /备份 端口 会 无 延 
时 地 进入 转发 状态 。 在 图 2-21 中 ,所 有 网 桥 都 运行 RSTP 协议 ,SW1 是 根 桥 。 假 设 SW2 
的 端口 1 是 根 端口 ,端口 2 将 能 够 识别 这 种 拓扑 结构 ,成 为 根 端口 的 蔡 换 端口 ,进入 阻塞 
状态 。 在 端口 1 所 在 链 路 失效 的 情况 下 ,端口 2 能 够 立即 进入 转发 状态 ,无 须 等 待 两 倍 
Forward Delay 时 间 。 

SWI SW2 SWI SW2 


图 2-21 RSTP 元 余 链 路 快速 切换 示意 图 


第 二 点 改进 : 在 只 连接 了 两 个 交换 端口 的 点 对 点 链 路 中 ,指定 端口 只 需 与 下 游 网 桥 
进行 一 次 握手 就 可 以 无 延 时 地 进入 转发 状态 。 如 果 是 连接 了 三 个 以 上 网 桥 的 共享 链 路 ， 
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下 游 网 桥 不 会 响应 上 游 指 定 端口 发 出 的 握手 请 求 , 只 能 等 待 两 倍 Forward Delay 时 间 进 
入 转发 状态 。 

第 三 点 改进 : 直接 与 终端 相连 ,而 不 是 把 其 他 网 桥 相 连 的 端口 定义 为 边缘 端口 (Edge 
Port) 。 边 缘 端 口 可 以 直接 进入 转发 状态 ,没有 任何 延 时 。 由 于 网 桥 无 法 知道 端口 是 否 直 
接 与 终端 相连 ,所 以 需要 手动 配置 。 

可 见 ,RSTP 协议 相对 于 STP 协议 的 确 改进 了 很 多 。 为 了 支持 这 些 改进 ,BPDU 的 
格式 做 了 一 些 修 改 。RSTP 协议 向 下 兼容 STP 协议 ,可 以 混合 组 网 。 虽然 如 此 ,RSTP 
All STP 同属 单 生 成 树 SST (Single Spanning Tree), 有 很 多 缺陷 , 主要 表现 在 下 面 三 个 
Jr ifii : 

第 一 点 缺陷 : 由 于 整个 交换 网 络 只 有 一 棵 生成 树 , 在 网 络 规模 比较 大 的 时 候 会 导致 
较 长 的 收敛 时 间 ,拓扑 改变 的 影响 面 也 较 大 。 

第 二 点 缺陷 : 近 些 年 IEEE 802. 1q 大 行 其 道 , 逐 渐 成 为 交换 机 的 标准 协议 。 在 网 络 
结构 对 称 的 情况 下 , 单 生成 树 没 什么 大 碍 。 但 在 网 络 结构 不 对 称 的 时 候 , 单 生成 树 会 影响 
网 络 的 连通 性 。 

如 图 2-22 所 示 ,假设 SWI 是 根 桥 , 实 线 链 路 是 VLAN 10, 虚 线 链 路 是 802. 1q 的 
Trunk 链 路 ,聚合 了 VLAN 10 和 VLAN 20, ?4 SW2 的 Trunk 口 被 阻塞 的 时 候 ,SW1 
和 SW2 之 间 VLAN 20 的 通路 就 被 切断 了 。 

第 三 点 缺陷 : 链 路 被 阻塞 后 将 不 承载 任何 流量 ,造成 了 带宽 的 极 大 浪费 ,这 在 环形 城 
域 网 的 情况 下 比较 明显 。 

如 图 2-23 所 示 ,假设 SW1 是 根 桥 ,SW4 的 一 个 端口 被 阻塞 。 在 这 种 情况 下 ,SW2 和 
SW4 之 间 铺 设 的 光纤 将 不 承载 任何 流量 ,所 有 SW2 和 SW4 之 间 的 业务 流量 都 将 经 过 
SWI 和 SW3 转发 ,增加 了 其 他 几 条 链 路 的 负担 。 


SWI SW2 
| 
SWI Trunk VLAN 1020 SW2 | Ec 
Xx m f x 
图 2-22 非 对 称 网 络 示意 图 图 2-23 SST 带宽 利用 率 低下 示意 图 


2.5.7 配置 STP 和 RSTP 协议 


1. 生成 树 的 默认 配置 


关闭 STP. H. STP Priority 是 32768.STP Port Priority 是 128, STP Port Cost 根据 
端口 速率 自动 判断 ;Hello Time 设 为 2s;Forward-delay Time 设 为 15s;Max-age Time it 
为 20s。 
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2. 打开 、 关 闭 生成 树 协 议 

可 通过 spanning-tree reset 命令 让 生成 树 参数 恢复 到 默认 配置 。 
Switch (config)# Spanning- tree 

如 果 要 关闭 生成 树 协议 ,用 no spanning-tree 全 局 配置 命令 进行 设置 。 
3. 配置 生成 树 的 类 型 


Switch (config)# 
Spanning- tree mode STP/RSTP 


4. 配置 交换 机 优先 级 


Switch (config)# spanning- tree priority <0- 61440» 
!("0" 或 4096 的 倍数 , 共 16 个 ,默认 值 为 32768) 


如 果 要 恢复 到 默认 值 , 用 no spanning-tree priority 全 局 配置 命令 进行 设置 。 
5. 配置 交换 机 端口 优先 级 


Switch (config- if) # spanning- tree port- priority <0- 240» 
!(0 或 16 的 倍数 , 共 16 个 ,默认 值 为 128) 


如 果 要 恢复 到 默认 值 ,用 no spanning-tree port-priority 接口 配置 命令 进行 设置 。 
6. STP 和 RSTP 信息 显示 


SwitchA# show spanning- tree ! 显 示 交 换 机 生成 树 的 状态 
SwitchA# show spanning- tree interface fastthernet 0/1 ! 显 示 交 换 机 接口 
规律 总 结 ( 检 查 ) 


随 着 Internet 的 高 速 发 展 , 人 们 对 通信 的 需求 逐渐 从 传统 的 电话 、 传 真 . 电 报 等 低速 
业务 向 高 速 Internet 接 和 人 、 可 视 电话 、 视 频 点 播 等 宽带 业务 领域 延伸 ,用 户 对 上 网 速率 的 
要 求 也 越 来 越 高 。 在 这 种 条 件 下 ,以 太 网 接 入 因 其 成 本 低 、 速 度 高 .使 用 简单 而 备 受 市 场 
的 关注 。 交 换 机 设备 作为 局 域 网 中 的 一 种 很 重要 的 “枢纽 ”设备 ,其 工作 状态 的 好 坏 直接 
决定 着 整个 局 域 网 的 运行 稳定 性 。 

交换 (switching) 是 按照 通信 两 端 传输 信息 的 需要 ,用 人 工 或 设备 自动 完成 的 方法 ， 
把 要 传输 的 信息 送 到 符合 要 求 的 相应 路 由 上 的 技术 统称 。 广 义 的 交换 机 (switch) 就 是 一 
种 在 通信 系统 中 完成 信息 交换 功能 的 设备 。 

在 当今 社会 ,网 络 技术 发 展 迅 猛 , 以 太 网 占据 了 统治 地 位 。 为 了 适应 网 络 应 用 深化 带 
来 的 挑战 ,网 络 的 规模 和 速度 都 在 急剧 发 展 ,局 域 网 的 速度 从 最 初 的 10Mbps 提高 到 
100Mbps, 千 兆 以 太 网 技术 已 得 到 普遍 应 用 。 

对 于 用 户 来 说 ,在 降低 成 本 的 前 提 下 ,保证 网 络 的 高 可 靠 性 a HE So ED aD SR, 
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与 采用 何 种 组 网 技术 密切 相关 ;对 于 设备 厂商 来 说 ,在 保证 实现 用 户 网 络 功能 的 基础 上 ， 
为 取得 更 可 观 的 利润 ,要 选择 采用 性 能 优异 的 组 网 技术 。 

交换 机 拥有 一 条 很 高 带宽 的 背部 总 线 和 内 部 交换 矩阵 ,交换 机 的 所 有 端口 都 挂 接 在 
这 条 背部 总 线 上 。 控 制 电 路 收 到 数据 包 以 后 ,处 理 端口 会 查找 内 存 中 的 地 址 对 照 表 ,以 确 
定 目的 MAC( 网 卡 的 硬件 地 址 ) 的 NIC( 网 卡 ) 挂 接 在 哪个 端口 上 ,通过 内 部 交换 矩阵 迅速 
将 数据 包 传送 到 目的 端口 。 目 的 MAC 若 不 存在 ,将 数据 包 广 播 到 所 有 的 端口 ,接收 端口 
回应 后 ,交换 机 会 “学 习 ” 新 的 地 址 ,并 把 它 添加 到 内 部 MAC 地 址 表 中 。 

使 用 交换 机 可 以 把 网 络 * 分 段 *。 通 过 对 照 MAC 地 址 表 , 交 换 机 只 允许 必要 的 网 络 
流量 通过 交换 机 。 通 过 交换 机 的 过 滤 和 转发 ,可 以 有 效 地 隔离 广播 风暴 ,减少 误 包 和 错 包 
的 出 现 ,避免 共享 冲突 。 

交换 机 在 同一 时 刻 可 进行 多 个 端口 对 之 间 的 数据 传输 。 每 一 个 端口 都 可 视 为 独立 的 
网 段 ,连接 在 其 上 的 网 络 设备 独自 享有 全 部 带宽 ,无 须 同 其 他 设备 竞争 使 用 。 当 节点 A 
向 节点 D 发 送 数据 时 ,节点 B 可 同时 向 节点 C 发 送 数据 ,而 且 这 两 个 传输 都 享有 网 络 的 
全 部 带宽 ,都 有 自己 的 虚拟 连接 。 假 使 这 里 使 用 的 是 10Mbps 以 太 网 交换 机 ,该 交换 机 的 
总 流通 量 为 2X10Mbps 二 20Mbps, 而 使 用 10Mbps 共享 式 HUB, 一 个 HUB 的 总 流通 量 
不 会 超出 10Mbps。 

总 之 ,交换 机 是 一 种 基于 MAC 地 址 识别 ,能 完成 封装 转发 数据 包 功 能 的 网 络 设备 。 
交换 机 可 以 “学 习 ”"MAC 地 址 ,并 把 其 存放 在 内 部 地 址 表 中 ,通过 在 数据 帧 的 始 发 者 和 目 
标 接收 者 之 间 建 立 临 时 的 交换 路 径 ,使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 因 此 ,要 根据 
实际 的 网 络 构建 情况 来 选择 交换 机 ,通过 配置 交换 设备 实现 对 网 络 的 管理 。 


拓展 提高 (拓展 ) 


3. VIP 


(1) VTP 简介 

VTP(VLAN Trunking Protocol) 是 VLAN 中 继 协议 ,也 称 为 虚拟 局 域 网 干道 协议 。 

VTP 是 OSI 参考 模型 第 二 层 的 通信 协议 , 主要 用 于 管理 在 同一 个 域 的 网 络 范围 内 
VLAN 的 建立 ,删除 和 重 命名 。 在 一 台 VTP Server 上 配置 一 个 新 的 VLAN 时 ,该 
VLAN 的 配置 信息 将 自动 传播 到 本 域内 的 其 他 所 有 交换 机 。 这 些 交 换 机 会 自动 地 接收 
配置 信息 ,使 其 VLAN 的 配置 与 VTP Server 保持 一 致 ,从 而 减少 在 多 台 设 备 上 配置 同一 
个 VLAN 信息 的 工作 量 , 而 且 保 持 了 VLAN 配置 的 统一 性 。 

VTP 通过 网 络 (ISL 帧 或 Cisco 私有 DTP wi) (REE VLAN 配置 统一 性 。 如 果 在 
VTP 服务 器 上 增加 、 删 除 、 调 整 了 VLAN ,会 自动 地 将 信息 向 网 络 中 的 其 他 交换 机 广播 。 
此 外 ,VTP 减 小 了 那些 可 能 导致 安全 问题 的 配置 。 有 了 VTP, 就 可 以 在 一 台 交换 机 上 集 
中 进行 配置 变更 ,所 做 的 变更 会 被 自动 传播 到 网 络 中 所 有 其 他 的 交换 机 上 。 

VTP 有 三 种 工作 模式 , 即 VTP Server. VTP Client 和 VTP Transparent。 一 般 情况 
下 ,一 个 VTP 域内 的 网 络 只 设 一 个 VTP Server, VTP Server 维护 该 VTP 域 中 的 所 有 
VLAN 信息 列表 ,VTP Server 可 以 建立 、 删 除 或 修改 VLAN. VTP Client 虽然 也 维护 所 
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A VLAN 信息 列表 ,但 其 VLAN 配置 信息 是 从 VTP Server 学 到 的 ,VTP Client 不 能 建 
立 \ 删 除 或 修改 VLAN. VTP Transparent 相当 于 一 台独 立 的 交换 机 , 它 不 参与 VTP T. 
作 , 不 从 VTP Server 学 习 VLAN 的 配置 信息 ,而 只 拥有 本 设备 上 自己 维护 的 VLAN fi 
息 。VTP Transparent 可 以 建立 ,删除 和 修改 本 机 上 的 VLAN 信息 。 

当 交 换 机 工作 在 VTP Server 或 VTP Transparent 模式 时 ,能 在 交换 机 配置 VLAN. 
可 以 使 用 CLI, 控 制 台 菜单 .MIB( 当 使 用 简单 网 络 管理 协议 管理 工作 站 时 ) 修 改 VLAN 
配置 。 

例如 ,增加 了 一 个 VLAN,VTP 将 广播 这 个 新 的 VLAN,Server 和 Client 的 Trunk 
口 准 备 接收 信息 。 

在 交换 机 自动 转 到 VTP 的 Client 模式 后 , 它 会 传送 广播 信息 并 从 广播 中 学 习 新 的 
信息 。 但 是 ,不 能 通过 MIB,CLI 或 者 控制 台 来 增加 、 删 除 、 修 改 VLAN. VTP Client fij 
不 能 在 非 易 失 存储 器 中 保存 VLAN 信息 。 当 启动 时 , 它 会 通过 Trunk 口 接收 广播 信息 ， 
学 习 配 置信 息 。 

(2) 传送 VTP 信息 

每 台 交换 机 用 VTP 广播 Trunk 口 的 管理 域 ,定义 特定 的 VLAN 边界 .其 配置 修订 
号 .已 知 VLAN 和 特定 参数 。 在 一 个 VTP 管理 域 登 记 后 ,交换 机 才能 工作 。 

通过 Trunk 口 ,VTP Server 向 其 他 交换 机 传输 信息 和 接收 更 新 。VTP Server 也 在 
NVRAM 中 保存 本 VTP 管理 域 信 息 中 VLAN 的 列表 。VTP 能 通过 统一 的 名 字 和 内 部 
列表 动态 显示 管理 域 中 的 VLAN. 

VTP 信息 在 全 部 干线 连接 上 传输 ,包括 ISL,IEEE 802. 10 和 LANE。VTP MIB 为 
VTP 提供 SNMP 工具 ,并 允许 浏览 VTP 参数 配置 。 

VTP 建立 共用 的 配置 值 和 发 布下 列 共用 的 配置 信息 : 

® VLAN IDCSL) 

@ 仿效 LAN 的 名 字 (ATM LANE) 

@ IEEE 802. 10 SAID ffi CFDDD 

@ VLAN 中 最 大 的 传输 单元 (MTU) 大 小 

© 帧 格式 

VTP 协议 是 Cisco 公司 的 专用 协议 ,大 多 数 Catalys 交换 机 都 支持 该 协议 。VTP 可 
以 减少 VLAN 的 相关 管理 任务 。 

在 VTP 域 中 有 以 下 两 个 重要 的 概念 : 

O VTP dk: 也 称 VLAN 管理 域 ,由 一 台 以 上 共享 VTP 域名 的 相互 连接 的 交换 机 组 
成 。 也 就 是 说 ,VTP 域 是 一 组 域名 相同 并 通过 中 继 链 路 相互 连接 的 交换 机 。 

© VTP 通告 : 在 交换 机 之 间 用 来 传递 VLAN 信息 的 数据 包 称 为 VTP 数据 包 。 


2. PVST/PVST+ 


“每 个 VLAN 都 生成 一 棵 树 ” 是 一 种 比较 直接 而 且 最 简单 的 解决 方法 , 它 能 够 保证 每 
一 个 VLAN 都 不 存在 环 路 。 但 是 由 于 种 种 原因 ,以 这 种 方式 工作 的 生成 树 协 议 并 没有 形 
成 标准 ,而 是 各 厂商 各 有 一 套 , 尤 其 以 Cisco 公司 的 VLAN 生成 树 PVST(Per VLAN 
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Spanning Tree) 为 代表 。 

为 了 携带 更 多 的 信息 ,PVST BPDU 的 格式 和 STP/RSTP BPDU 格式 不 同 , 发 送 的 
目的 地 址 改 成 了 Cisco 保留 地 址 01-00-0C-CC-CC-CD, 而 且 在 VLAN Trunk 的 情况 下 ， 
PVST BPDU 被 贴 上 了 802. 1q VLAN 标签 。 所 以 ,PVST 协议 不 兼容 STP/RSTP 协议 。 

Cisco 公司 很 快 又 推出 了 经 过 改进 的 PVST 十 协议 ,并 成 为 交换 机 产品 的 默认 生成 树 
协议 。 经 过 改进 的 PVST 十 协议 在 VLAN 1 上 运行 的 是 普通 STP 协议 ,在 其 他 VLAN 
上 运行 PVST 协议 。PVST 十 协议 可 以 与 STP/RSTP 互通 ,在 VLAN 1 上 的 生成 树 状态 
按照 STP 协议 计算 。 在 其 他 VLAN 上 ,普通 交换 机 只 会 把 PVST BPDU 当 作 多 播报 文 
按照 VLAN 号 进行 转发 。 这 并 不 影响 环 路 的 消除 ,只 是 VLAN 1 和 其 他 VLAN 的 根 桥 
状态 可 能 不 一 致 。 

如 图 2-24 所 示 , 所 有 链 路 默认 VLAN 是 VLAN 1, 并 且 都 聚合 了 VLAN 10 和 
VLAN 20。SW1 和 SW3 运行 单 生成 树 SST 协议 ,而 SW2 运行 PVST 十 协议 。 在 
VLAN 1 上 ,可 能 SWI 是 根 桥 ,SW2 的 端口 1 被 阻塞 在 VLAN 10 和 VLAN 20 E, 
SW2 只 能 看 到 自己 的 PVST BPDU, 所 以 在 这 两 个 VLAN 上 , 它 认为 自己 是 根 桥 。 
VLAN 10 和 VLAN 20 的 PVST BPDU 会 被 SW1 和 SW3 转发 ,所 以 SW2 检测 到 这 种 
环 路 后 ,会 在 端口 2 上 阻塞 VLAN 10 和 VLAN 20。 这 就 是 PVST 十 协议 提供 的 STP/ 
RSTP 兼容 性 。 可 以 看 出 ,网 络 中 的 二 层 环 路 能 够 被 识别 并 消除 ,强制 根 桥 的 一 致 性 是 没 
有 任何 意义 的 。 

由 于 每 个 VLAN 都 有 一 棵 独立 的 生成 树 , 单 生成 树 的 种 种 缺陷 都 被 克服 了 。 同 时 ， 
PVST 具有 另 一 个 优点 , 那 就 是 二 层 负 载 均衡 。 

如 图 2-25 所 示 , 四 台 设 备 都 运行 PVST 十 协议 ,并 且 都 Trunk 了 VLAN 10 和 
VLAN 20, 假设 SWI 是 所 有 VLAN 的 根 桥 ,通过 配置 可 以 使 得 SW4 端口 1 上 的 
VLAN 10 和 端口 2 上 的 VLAN 20 阻塞 ,SW4 端口 1 所 在 的 链 路 仍然 可 以 承载 VLAN 
20 的 流量 ,端口 2 所 在 的 链 路 也 可 以 承载 VLAN 10 的 流量 ,同时 具备 链 路 备份 的 功能 。 
这 在 以 往 的 单 生 成 树 情况 下 是 无 法 实现 的 。 


SWI(SST) y SW2(PVST+) 
XX 


PVID=1 2 
TRUNK 
VLAN 1020 


SW3(SST) 


SWI SW2 


PVID=1 


TRUNK 
VLAN 1020 
SW. 


SW3 4| X <= VLAN 20 


1x 
Tr 
VLAN 10 


图 2-24 PVST--5j SST 对 接 示意 图 图 2-25 PVST 十 负载 均衡 示意 图 


PVST/PVST 十 协议 实现 了 VLAN 认 知 能 力 和 负载 均衡 能 力 ,但 是 新 技术 带 来 了 新 
问题 ,PVST/PVST 十 协议 也 有 其 缺陷 。 
第 一 ,由 于 每 个 VLAN 都 需要 生成 一 棵 树 ,PVST BPDU 的 通信 量 将 正比 于 Trunk 
的 VLAN 个 数 。 
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第 二 ,在 VLAN 个 数 比 较 多 的 时 候 , 维 护 多 棵 生成 树 的 计算 量 和 资源 占用 量 将 急剧 
增长 。 特 别 是 当 Trunk 了 很 多 VLAN 的 接口 状态 变化 的 时 候 , 所 有 生成 树 的 状态 都 要 
重新 计算 ,CPU 将 不 堪 重 负 。 所 以 ,Cisco 交换 机 限制 了 VLAN 的 使 用 个 数 ,不 建议 在 一 
个 端口 上 Trunk 很 多 VLAN. 

第 三 ,由 于 协议 的 私有 性 ,PVST/PVST 十 不 能 像 STP/RSTP 一 样 得 到 广泛 的 支持 ， 
不 同 厂 家 的 设备 并 不 能 在 这 种 模式 下 直接 互通 ,只 能 通过 一 些 变通 的 方式 实现 。 

一 般 情况 下 ,网络 的 拓扑 结构 不 会 频繁 变化 ,所 以 PVST/VPVST 十 的 这 些 缺 点 并 不 
致命 。 但 是 ，Trunk 口 的 大 量 VLAN 需求 还 是 存在 的 。 于 是 , Cisco 公司 对 PVST/ 
PVST 十 又 做 了 进一步 改进 ,推出 了 多 实例 化 的 MISTP 协议 。 


3. MISTP/MSTP 


多 实例 生成 树 协议 (MISTP,Multi-Instance Spanning Tree Protocol) 定 义 了 “实例 ” 
(Instance) 的 概念 。 简 单 地 说 ,STP/RSTP 是 基于 端口 的 ,PVST/PVST 十 是 基于 VLAN 
的 , MISTP 是 基于 实例 的 。 所 谓 实例 ,就 是 多 个 VLAN 的 一 个 集合 ,通过 将 多 个 VLAN 
捆绑 到 一 个 实例 中 的 方法 可 以 节省 通信 开销 和 资源 占用 率 。 

在 使 用 MISTP 的 时 候 , 可 以 把 多 个 相同 拓扑 结构 的 VLAN 映射 到 一 个 实例 里 ,这 
些 VLAN 在 端口 上 的 转发 状态 将 取决 于 对 应 实例 在 MISTP 里 的 状态 。 值 得 注意 的 是 ， 
网 络 里 的 所 有 交换 机 的 V LAN 和 实例 映射 关系 必须 都 一 致 ,否则 会 影响 网 络 连通 性 。 为 
了 检测 这 种 错误 ,MISTP BPDU 里 除了 携带 实例 号 以 外 ,还 要 携带 实例 对 应 的 VLAN 关 
系 等 信息 。MISTP 协议 不 处 理 STP/RSTP/PVST BPDU ,所 以 不 能 兼容 STP/RSTP 协 
议 , 甚 至 不 能 向 下 兼容 PVSTVPVST 十 协议 ,在 一 起 组 网 的 时 候 会 出 现 环 路 。 为 了 让 网 
络 平滑 地 从 PVST 十 模式 迁移 到 MISTP 模式 ,Cisco 公司 在 交换 机 产品 里 做 了 一 个 处 理 
PVST BPDU 的 混合 模式 MISTP-PVST 十 。 网 络 升级 的 时 候 , 需 要 先 把 设备 都 设置 成 
MISTP-PVST 十 模式 ,再 全 部 设置 成 MISTP 模式 。 

MISTP 的 优点 是 显而易见 的 。 它 既 有 PVST AY VLAN 认 知 能 力 和 负载 均衡 能 力 ， 
又 拥有 可 以 和 SST 相 媲 美的 低 CPU 占用 率 。 不 过 , 极 差 的 向 下 兼容 性 和 协议 的 私有 性 
阻挡 了 MISTP 的 大 范围 应 用 。 

MISTP 协议 精妙 的 地 方 在 于 把 支持 MISTP 的 交换 机 和 不 支持 MISTP 的 交换 机 划 
分 成 不 同 的 区 域 ,分 别称 做 MST 域 和 SST H, E MST 域内 部 运行 多 实例 化 的 生成 树 ， 
在 MST 域 的 边缘 运行 RSTP 兼容 的 内 部 生成 树 IST (Internal Spanning Tree), 

如 图 2-26 所 示 ,MST 域内 的 交换 机 间 使 用 MISTP BPDU 交换 拓扑 信息 ，SST 域内 
的 交换 机 使 用 STP/RSTP/PVST 十 BPDU 交换 拓扑 信息 。 在 MST 域 与 SST 域 之 间 的 
边缘 上 ,SST 设备 认为 对 接 的 设备 也 是 一 台 RSTP 设备 。 而 MST 设备 在 边缘 端口 上 的 
状态 将 取决 于 内 部 生成 树 的 状态 ,也 就 是 说 ,端口 上 所 有 VLAN 的 生成 树 状态 将 保持 
一 致 。 

MISTP 设备 内 部 需要 维护 的 生成 树 包括 若干 个 内 部 生成 树 IST, 其 个 数 和 连接 了 多 
少 个 SST 域 有 关 。 另 外 ,还 有 若干 个 多 生成 树 实例 MSTI (Multiple Spanning Tree 
Instance) 确 定 的 MISTP 生成 树 ,其 个 数 由 配置 了 多 少 个 实例 决定 。 
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图 2-26 MISTP 工作 原理 示意 图 


MISTP 相对 于 之 前 的 种 种 生成 树 协议 而 言 ,优势 非常 明显 。MISTP 具有 VLAN 认 
知 能 力 , 可 以 实现 负载 均衡 ,可 以 实现 类 似 RSTP 的 端口 状态 快速 切换 ,可 以 捆绑 多 个 
VLAN 到 一 个 实例 中 以 降低 资源 占用 率 。 最 难能可贵 的 是 , MISTP 可 以 很 好 地 向 下 兼 
容 STP/RSTP 协议 。 而 且 ,MISTP 是 IEEE 标准 协议 ,推广 的 阻力 相对 小 得 多 。 

可 见 , 各 项 全 能 的 MISTP 协议 能 够 成 为 当今 生成 树 发 展 的 一 致 方向 。 


思考 训练 (评估 ) 


1. 思考 与 提高 
(1) 简 述 VLAN 的 优点 。 


(2) VLAN 对 局 域 网 广播 有 什么 影响 ? 
(3) VLAN 有 哪 几 种 主要 的 实现 方式 ? 
(4) VLAN 帧 标记 的 目的 是 什么 ? 

(5) 比较 Port VLAN 和 Tag VLAN 的 优 缺 点 及 使 用 场合 。 
(6) 简 述 元 余 链 路 的 产生 原因 。 


(7) STP 协议 的 原理 是 什么 ? 


2. Sill 


(1) 观察 交换 机 的 启动 过 程 ,了 解 交换 机 的 软 、 硬 件 配置 ;掌握 交换 机 的 命令 模式 , 熟 
悉 进 入 各 个 模式 的 基本 命令 。 案 例 : 某 机 房 有 100 台 计 算 机 , 现 需要 联网 。 要 求 : 


CD 画 出 拓扑 图 ; 
© 规划 TP 地 址 ; 


© 推荐 几 种 交换 机 ,了 解 其 软 ,硬件 配置 。 
(2) 熟悉 根据 Port 来 划分 VLAN 的 配置 ,了解 VLAN 如 何 跨 交换 机 实现 ,并 能 利用 


Trunk 端口 和 上 层 设备 相连 。 


(3) 在 一 台 支 持 STP 协议 的 交换 机 上 ,通过 超级 终端 来 配置 简单 STP 协议 。 
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任务 情境 (资讯 ) 


ThreeFour Software 软件 公司 发 展 越 来 越 快 ,为 了 配合 市 场 销 售 ,公司 在 最 近 的 大 城 
市 中 心 租用 了 办 公 室 成 立 分 支 机 构 。 现 在 的 任务 是 要 将 总 部 的 局 域 网 络 和 分 支 机 构 的 网 
络 连接 起 来 。 为 此 ,需要 新 的 设备 一 一 路 由 器 。 李 四 购买 了 两 台 路 由 器 ,但 如 何 选择 广 域 
网 线路 呢 ? 通过 了 解 , 李 四 租 用 了 电信 运营 商 的 El 专线 作为 广域网 线路 ,采用 的 链 路 协 
议 为 PPP。 由 于 网 络 组 成 比较 简单 , 李 四 决 定 使 用 静态 路 由 完成 连接 。 

在 利用 静态 路 由 连接 总 部 和 分 支 机 构 之 后 ,网 络 运行 正常 。 但 是 静态 路 由 在 实际 应 
用 中 逐渐 显示 出 劣势 。 特 别 是 在 引入 备份 线路 后 , 随 着 网 络 复杂 程度 的 提高 ,“ 静 态 ” 的 
路 由 无 法 反映 网 络 的 实时 变化 情况 ,经 常 需 要 手动 修改 。 大 大 增加 了 工作 量 , 所 以 李 四 决 
定 采用 动态 路 由 来 解决 这 一 问题 。 

在 完成 了 总 部 和 分 支 机 构 网 络 互联 之 后 ,公司 网 络 有 进一步 访问 Internet 的 需求 。 
为 此 , 李 四 在 总 部 申请 了 另外 一 条 专线 用 于 访问 Internet。 由 于 公司 内 部 网 络 用 的 都 是 
私有 IP 地 址 ,需要 通过 NAT 地 址 转换 ,将 私有 IP 地 址 转换 为 Internet 上 的 公有 IP 
地 址 。 


任务 分 析 ( 决 策 ) 


在 上 述 情境 中 ,我 们 遇 到 的 问题 是 当 网 络 不 断 扩展 ,网 络 连 接 的 范围 不 断 扩大 ,这 时 
需要 租用 电信 运营 商 提供 的 设备 和 线路 。 在 这 种 模式 下 组 成 的 网 络 称 为 广域网 。 广 域 网 
可 以 承载 不 同类 型 的 信息 ,如 语音 、 视 频 和 数据 。 当 用 户 通过 广域网 建立 连接 时 ,或 者 说 
数据 在 广域网 中 传输 时 ,可 以 选择 不 同 的 方式 ,由 广域网 的 协议 和 网 络 类 型 决定 。 在 广 域 
网 上 实现 数据 传输 涉及 路 由 以 及 内 部 地 址 转换 的 问题 。 为 此 ,需要 了 解 以 下 内 容 。 


1. 路 由 


所 谓 路 由 ,就 是 指 通过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 活动 。 一 
般 来 说 ,在 路 由 过 程 中 ,信息 会 经 过 一 个 或 多 个 中 间 节 点 。 通 常 ,人 们 会 把 路 由 和 交换 进 
行 对 比 ,这 主要 是 因为 在 普通 用 户 看 来 ,两 者 所 实现 的 功能 是 完全 一 样 的 。 其 实 ,路 由 和 
交换 之 间 的 主要 区 别 是 交换 发 生 在 OSI 参考 模型 的 第 二 层 (数据 链 路 层 ) ,而 路 由 发 生 在 
第 三 层 , 即 网 络 层 。 这 决定 了 路 由 和 交换 在 移动 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 ， 
所 以 两 者 实现 各 自 功 能 的 方式 是 不 同 的 。 


学 习 情 境 3 局 域 网 间 互 联 


早 在 40 多 年 前 就 出 现 了 对 路 由 技术 的 讨论 ,但 是 直到 20 世纪 80 年 代 , 路 由 技术 才 
逐渐 进入 商业 化 的 应 用 。 路 由 技术 之 所 以 在 问世 之 初 没 有 被 广泛 使 用 ,主要 是 因为 80 年 
代 之 前 的 网 络 结构 非常 简单 ,路 由 技术 没有 用 武之 地 。 直 到 最 近 十 几 年 ,大 规模 的 互联 网 
逐渐 流行 起 来 ,为 路 由 技术 的 发 展 提供 了 良好 的 基础 和 平台 。 


2. 路 由 协议 


路 由 协议 就 是 根据 特定 的 判断 标准 和 算法 ,计算 出 网 络 中 到 不 同 子 网 的 最 佳 路 径 的 
协议 。 

目前 主流 的 单 播 路 由 协议 有 RIP v1/v2. OSPF v2 和 BGP v4 ,这些 路 由 协议 在 IOS 
软件 中 都 能 提供 完善 的 支持 。 


3. 路 由 器 


路 由 器 是 一 个 工作 在 TCP/IP 第 三 层 , 即 网 络 层 的 网 络 设备 , 它 的 主要 作用 是 为 收 到 
的 报 文 寻找 正确 的 路 径 ,并 把 它们 转发 出 去 。 通 俗 地 讲 , 路 由 器 就 是 从 一 个 网 络 向 另 一 个 
网 络 传递 数据 包 , 相 当 于 现实 生活 中 的 邮局 ,用 户 将 信件 交 给 本 地 邮局 ,本 地 邮局 将 信件 
通过 各 种 运输 工具 送 到 目的 邮局 ,最 后 由 目的 邮局 送 交 给 收 信人 。 

路 由 器 是 用 来 连接 异种 网 络 的 重要 网 络 设备 , 它 必 须 具备 以 下 性 能 : 

D 两 个 或 两 个 以 上 的 接口 (用 于 连接 不 同 的 网 络 ,需要 支持 丰富 的 广域网 接口 ) 

@ 协议 至 少 实现 到 网 络 层 

© 至 少 支 持 两 种 以 上 的 网 络 链 路 协议 (异种 网 ) 

CD 具有 存储 、 转 发 . 寻 径 的 功能 

4. 路 由 表 

路 由 表 是 保存 在 路 由 器 存储 器 中 的 数据 文件 ,其 中 存储 了 与 直 连 网 络 以 及 远程 网 络 
相关 的 信息 。 路 由 表 包 含 网 络 与 下 一 跳 的 关联 信息 ,如 图 3-1 所 示 。 这 些 关 联 告知 路 由 


器 : 要 以 最 佳 方式 到 达 某 一 目的 地 ,可 以 将 数据 包 发 送 到 特定 路 由 器 ( 即 在 到 达 最 终 目的 
地 的 途中 的 “下 一 跳 ””。 下 一 跳 也 可 以 关联 到 通 向 最 终 目 的 地 的 外 发 或 送出 接口 。 


本 页 设置 路 由 器 的 静态 路 由 信息 。 

1D 目的 IP 地 址 TR 网 关 BR 
: ] [ 口 
E ] | Jo 
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图 3-1 路 由 表 信 息 
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路 由 器 的 主要 工作 就 是 为 经 过 路 由 器 的 每 个 数据 包 寻 找 一 条 最 佳 传输 路 径 , 并 将 该 
数据 有 效 地 传送 到 目的 站 点 。 由 此 可 见 ,选择 最 佳 路 径 的 策略 即 路 由 算法 是 路 由 器 的 关 
键 所 在 。 为 了 完成 这 项 工作 ,在 路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数据 一 一 路 由 表 
(Routing Table) , 供 路 由 选择 时 使 用 , 表 中 包含 的 信息 决定 了 数据 转发 的 策略 。 打 个 比 
方 ,路 由 表 就 像 我 们 平时 使 用 的 地 图 一 样 ,标识 着 各 种 路 线 , 路 由 表 中 保存 着 子 网 的 标志 
信息 、 网 上 路 由 器 的 个 数 和 下 一 个 路 由 器 的 名 字 等 内 容 。 路 由 表 可 以 是 由 系统 管理 员 固 
定 设置 好 的 ,也 可 以 由 系统 动态 修改 ;可 以 由 路 由 器 自动 调整 ,也 可 以 由 主机 控制 ,主要 可 
分 为 静态 路 由 表 和 动态 路 由 表 两 种 类 型 。 

CD 静态 路 由 表 

由 网 络 系统 管理 员 事先 设置 好 的 固定 的 路 由 表 称 为 静态 (Static) 路 由 表 ,一般 是 在 系 
统 安 装 时 就 根据 网 络 的 配置 情况 设 定 的 , 它 不 会 随 未 来 网 络 结构 的 改变 而 改变 。 

(2) 动态 路 由 表 

动态 (Dynamic) 路 由 表 是 路 由 器 根据 网 络 系统 的 运行 情况 而 自动 调整 的 路 由 表 。 路 
由 器 根据 路 由 选择 协议 (Routing Protocol) 提 供 的 功能 ,自动 学 习 和 记忆 网 络 运 行情 况 ， 
在 需要 时 自动 计算 数据 传输 的 最 佳 路 径 。 

路 由 器 在 转发 数据 包 时 ,要 先 在 路 由 表 中 查找 相应 的 路 由 ,才能 知道 数据 应 该 从 哪个 
接口 转发 出 去 。 那 么 ,路 由 器 是 如 何 建 立 路 由 表 的 呢 ? 一 般 有 以 下 三 种 途径 ， 

CD 直 连 网 络 : 路 由 器 自动 添加 和 自己 直接 连接 的 网 络 路 由 ， 

O 静态 路 由 : 管理 员 手 动 输入 到 路 由 器 的 路 由 ; 

© 动态 路 由 : 由 路 由 协议 动态 建立 的 路 由 。 


5. 路 由 器 的 基本 工作 过 程 


路 由 器 在 网 络 中 所 起 的 作用 就 是 数据 转发 。 当 路 由 器 的 一 个 接口 收 到 数据 包 之 后 ， 
根据 数据 包 的 目的 地 址 信息 ,按照 路 由 表 中 存储 的 路 由 信息 将 数据 包 从 另 一 个 接口 转发 ， 
这 就 是 一 个 简单 的 路 由 过 程 。 

路 由 的 基本 工作 过 程 可 以 按照 IP 协议 工作 的 情况 来 描述 ,网 络 结构 如 图 3-2 所 示 。 
路 由 器 RI 的 两 个 接口 分 别 连接 到 网 络 172. 16.1.0 和 172. 16. 2.0 上 。 当 PCI 要 发 送 一 
个 数据 包 到 PC2 时 ,在 路 由 器 RI 的 Fad 接口 收 到 数据 包 后 ,通过 计算 查询 路 由 表 , 可 以 
发 现 PC2 的 地 址 与 路 由 器 R1 的 Fal 接口 相连 ,路 由 器 就 将 数据 包 通 过 接口 Fal 转发 给 
PC2 ,一 个 路 由 过 程 就 完成 了 。 


NIC Fa0 Fal Dus 
— a a 172.168.2.1 
172.168.1.10 
di 172.168.1.1 gg LÀ 0 i 
= p 
PCI PC 
172.168.1.0/24 172.168.2.0/24 


图 3-2 基本 的 路 由 器 连接 


6. 路 由 器 的 基本 协议 与 技术 
路 由 协议 是 路 由 器 软件 中 重要 的 组 成 部 分 。 路 由 器 的 路 由 功能 就 是 通过 这 些 路 由 协议 
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来 实现 的 ,路 由 协议 是 用 来 建立 以 及 维护 路 由 表 。 路 由 表 记 录 转 发 数据 到 已 知 目的 节点 的 
最 佳 路 径 , 有 了 它 , 只 需 直 接 按 路 径 转 发 数据 包 即 可 ,大 大 提高 了 数据 转发 的 速度 和 效率 。 

(1) 路 由 协议 的 种 类 

除了 按 路 由 是 否 变化 分 为 静态 路 由 和 动态 路 由 外 ,在 路 由 协议 中 还 根据 是 否 在 一 个 
自治 域内 部 使 用 ,将 动态 路 由 协议 分 为 内 部 网 关 协 议 (IGP) 和 外 部 网 关 协 议 (EGP)。 这 
里 的 自治 域 指 一 个 具有 统一 管理 机 构 ,统一 路 由 策略 的 网 络 。 自 治 域内 部 采用 的 路 由 选 
择 协议 称 为 内 部 网 关 协 议 ,常用 的 有 RIP 和 OSPF; 外 部 网 关 协 议 主要 用 于 多 个 自治 域 之 
间 的 路 由 选择 ,常用 的 是 BGP 和 BGP-4, 下 面 分 别 介 绍 。 

(D RIP 协议 

RIP 是 推出 时 间 最 长 的 路 由 协议 ,也 是 最 简单 的 路 由 协议 。 它 主要 通过 传递 路 由 信 
息 ( 路 由 表 ) 来 广播 路 由 ,每 隔 30s 广播 一 次 路 由 表 , 维 护 相 邻 路 由 器 的 关系 ,同时 根据 收 
到 的 路 由 表 计算 自己 的 路 由 表 。RIP 运行 简单 ,适用 于 小 型 网 络 ,互联 网 上 还 在 部 分 使 用 
着 RIP。 

@ OSPF 协议 

OSPF 协议 是 “开放 式 最 短路 径 优先 ”的 缩写 。“ 开 放 ” 是 针对 当时 某 些 厂家 的 “私有 ” 
路 由 协议 而 言 的 , 正 是 因为 协议 的 开放 性 , 才 使 得 OSPF 具有 强大 的 生命 力 和 广泛 的 用 
途 。 它 通过 传递 链 路 状态 (连接 信息 ) 来 得 到 网 络 信息 ,维护 一 张 网 络 有 向 拓扑 图 ,利用 最 
小 生成 树 算法 得 到 路 由 表 。OSPF 是 一 种 相对 复杂 的 路 由 协议 。 

总 的 来 说 ,OSPF 和 RIP 都 是 自治 系统 内 部 的 路 由 协议 ,适合 于 单一 的 ISP( 自 治 系 
统 ) 使 用 。 一 般 来 说 ,整个 互联 网 并 不 适合 运行 单一 的 路 由 协议 ,因为 各 ISP 有 自己 的 利 
益 , 不 愿意 提供 自身 网 络 详细 的 路 由 信息 。 为 了 保证 各 ISP 的 利益 ,标准 化 组 织 制定 了 
ISP 间 的 路 由 协议 BGP. 

@ BGP 协议 

BGP 处 理 各 ISP 之 间 的 路 由 传递 ,其 特点 是 有 丰富 的 路 由 策略 ,这 是 RIP 和 OSPF 
协议 无 法 做 到 的 ,因为 它们 需要 全 局 的 信息 计算 路 由 表 。BGP 通过 ISP 边界 的 路 由 器 加 
上 一 定 的 策略 ,选择 过 滤 路 由 ,把 RIP, OSPF 和 BGP 的 路 由 发 送 到 对 方 。 全 局 范围 的 、 
广泛 的 互联 网 是 BGP 处 理 多 个 ISP 间 路 由 的 实例 。BGP 的 出 现 引 起 了 互联 网 的 重大 变 
革 , 它 把 多 个 ISP 有 机 地 连接 起 来 ,真正 形成 全 球 范围 的 网 络 , 带 来 的 副作用 是 互联 网 的 
“路 由 爆炸 ”, 现 在 互联 网 的 路 由 大 概 是 60000 条 ,这 还 是 经 过 “聚合 ”后 的 数字 。 配置 BGP 
需要 对 用 户 需求 ,网 络 现状 和 BGP 协议 非常 了 解 ,还 需要 非常 小 心 .BGP 运行 在 相对 核 
心 的 地 位 ,一 旦 出 错 , 造 成 的 损失 可 能 会 很 大 。 

(2) 路 由 器 主要 技术 

O VPN 技术 

VPN( Virtual Private Network ,虚拟 专用 网 络 ) 解 决 方案 是 路 由 器 的 重要 技术 之 一 。 
路 由 器 的 VPN 解决 方案 主要 采用 访问 控制 .数据 加 密 、NAT (Network Address 
Translation ,网 络 地 址 转换 协议 ) 等 几 种 方案 。 

@ QoS 技术 

QoS( Quality of Service ,服务 质量 ) 本 来 是 ATM(Asynchronous Transmit Mode, $ 
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步 传输 模式 ) 中 的 专用 术语 ,在 IP 上 原来 是 不 谈 QoS 的 ,但 利用 IP 传输 VOD 等 多 媒体 
信息 的 应 用 越 来 越 多 ,IP 作为 一 个 打包 协议 显得 力不从心 : 延 时 长 且 不 为 定 值 , 丢 包 造成 
信号 不 连续 且 失 真 大 。 为 解决 这 些 问 题 ,各 厂商 提供 了 若干 解决 方案 : 第 一 种 方案 基于 
不 同 对 象 的 优先 级 , 某 些 设备 (多 为 多 媒体 应 用 ) 发 送 的 数据 包 可 以 后 到 先 传 。 第 二 种 方 
案 基 于 协议 的 优先 级 ,用 户 可 定义 哪 种 协议 的 优先 级 高 ,可 后 到 先 传 ,Intel 公司 和 Cisco 
公司 都 支持 ;第 三 种 方案 是 做 链 路 聚合 (MLPPP. Multi Link Point to Point Protocol). 
Cisco 公司 支持 将 连接 两 点 的 多 条 线路 做 带宽 汇聚 ,从 而 提高 带宽 ;第 四 种 方案 是 做 资源 
预 留 (RSVP, Resource Reservation Protocol) , 它 将 一 部 分 带宽 固定 地 分 给 多 媒体 信和 号 ， 
其 他 协议 无 论 如 何 拥挤 ,也 不 得 占用 这 部 分 带宽 。 这 几 种 解决 方案 都 能 有 效 地 提高 传输 
质量 。 

(3) IPv6 技术 

迅速 发 展 的 互联 网 不 再 是 仅仅 连接 计算 机 的 网 络 , 它 将 发 展 成 与 电话 网 ,有 线 电视 网 
类 似 的 信息 通信 基础 设施 。 因 此 ,正在 使 用 的 IP( 互 联网 协议 ) 难 以 胜任 ,人 们 迫切 希望 
下 一 代 IP 即 IPv6 的 出 现 。 

IPv6 是 IP 的 一 种 版 本 ,在 互联 网 通信 协议 TCP/IP 中 是 OSI 模型 第 三 层 ( 网 络 层 ) 
的 传输 协议 。 它 同 目 前 广泛 使 用 的 .1974 年 便 提出 的 IPv4 相 比 ,地 址 由 32 位 扩充 到 
128 位 。 从 理论 上 说 ,地 址 的 数量 由 原先 的 4. 3X 109 个 增加 到 4. 3X1038 个 。 


7. 广域网 链 路 层 协议 


在 地 域 分 布 很 广 、 很 分 散 , 以 致 无 法 用 直接 连接 来 接 人 局 域 网 的 场合 ,广域网 WAN) 
通过 专用 的 或 交换 式 的 连接 把 计算 机 连接 起 来 。 这 种 广 域 连接 可 以 是 通过 公众 网 建立 
的 ,也 可 以 是 通过 服务 于 某 个 专门 部 门 的 专用 网 建立 起 来 的 。 相 对 来 说 ,广域网 显得 比较 
复杂 ,主要 是 用 于 广 域 传输 的 协议 比较 多 ,包括 PPP( 点 对 点 协议 )\DDN (数字 专线 )、 
ISDN( 综 合 业务 数字 网 ) SX. 25、FR( 帧 中 继 ) 和 ATM( 异 步 传输 模式 ) 等 。 

(1) PPP( 点 对 点 协议 ) 

PPP( 点 对 点 协议 ) 主要 用 于 ”拨号 上 网 ”这 种 广 域 连接 模式 。 一 般 来 说 ,一 些 无 法 使 
用 专门 的 网 络 线 连接 的 双方 (比如 说 家 庭 用 户 .移动 用 户 ) 需 要 广 域 连接 的 时 候 , 可 以 借助 
分 布 最 广 的 公用 交换 电话 网 来 实现 。 当 用 户 要 浏览 互联 网 网 页 的 时 候 ,首先 通过 调制 解 
调 器 连接 到 电话 线 , 然 后 将 在 远方 服务 器 的 内 容 通 过 电话 线 传送 到 用 户 的 计算 机 中 ;或 
者 , 当 用 户 要 发 送 电子 邮件 的 时 候 , 将 写 好 的 邮件 从 电话 线 传送 出 去 。 另 外 ,两 个 不 同城 
市 的 两 台 计 算 机 要 互相 传送 数据 ,也 可 以 通过 装 在 两 台 计 算 机 上 的 调制 解 调 器 ,让 其 中 一 
台 呼 叫 另 一 台 ( 拨 打 它 的 电话 号 码 ) ,建立 点 对 点 的 连接 来 实现 。 迄今 为 止 ,拨号 上 网 是 绝 
大 多 数 家 庭 用 户 和 小 型 办 公 室 用 户 实现 广 域 连接 的 一 种 最 常用 的 手段 。 但 是 因为 其 传输 
线路 是 模拟 的 ,所 以 传输 速度 较 慢 。 

用 户 接 入 Internet, 在 传送 数据 时 都 需要 有 数据 链 路 层 协议 ,其 中 最 广泛 的 是 串 行 线 
路 网 际 协议 (SLIP) 和 点 对 点 协议 (PPP)。 由 于 SLIP 仅 支持 IP, 主 要 用 于 低速 (不 超过 
19. 2Kbps) 的 交互 性 业务 ,未 成 为 Internet 的 标准 协议 。 为 了 改进 SLIP, 人 们 制定 了 点 
对 点 协议 PPP(Point-to-Point Protocol) 。 
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(2) ISDN( 综 合 业务 数字 网 ) 

ISDN 经 历 了 一 个 极为 漫长 的 “进化 ”过 程 。 如 果 你 常 看 一 些 网 络 界 的 时 报 ,一 定 不 
会 在 10 年 前 就 对 它 有 所 耳闻 。 在 它 出 现 的 时 候 , 远 程 通信 界 的 专家 们 都 声称 它 是 未 来 的 
公用 电话 .电信 接口 。 但 是 它 不 够 经 济 ,严重 地 阻碍 了 其 广泛 应 用 。 中 国电 信用 了 一 个 形 
象 的 名 字 “ 一 线 通 ”描述 其 特点 : ISDN 将 数据 .声音 、 视 频 信 号 集成 进 一 根 数字 电话 线路 ， 
提供 有 效 、 经 济 的 途径 ,将 用 户 与 高 带宽 数字 服务 相连 。ISDN 分 为 N-ISDN(# H ISDN) 
和 B-ISDN( 宽 带 ISDN) 两 种 。 常 用 于 家 庭 及 小 型 办 公 室 的 是 N-ISDN, 它 提供 的 基本 速 
率 接口 (BRI) 服务 由 2 条 B 信道 和 1 条 DD 信道 组 成 (2B 十 D), 其 中 B 信道 速率 为 
64Kbps, D 信道 速率 为 16Kbps。B-ISDN 提供 的 主要 速率 接口 (PRI) 在 不 同 的 国家 不 尽 
相同 。 在 北美 .日 本 为 23 条 速率 64Kbps 的 B 信 道 和 1 条 速率 也 为 64Kbps 的 D 信道 ， 
总 速率 为 1. 544Mbps, 即 23B 十 D。 在 欧洲 、 澳 洲 及 其 他 国家 ,一 般 由 30 条 速率 64Kbps 
的 也 信道 和 1 条 速率 也 为 64Kbps 的 D 信道 构成 ,总 的 接口 速率 可 达到 2. 048Mbps, 也 
就 是 30B 十 D。 

(3) xDSL 

xDSL 是 DSL (Digital Subscriber Line) 的 统称 , 即 数字 用 户 线 路 ,是 以 铜 电话 线 为 传 
输 介质 的 传输 技术 组 合 。DSL 技术 主要 分 为 对 称 和 非 对 称 两 大 类 。 

O HDSL( 高 速 对 称 DSL): 是 xDSL 技术 中 最 成 熟 的 , 它 利用 两 对 双 绞 线 传输 ,支持 
NX64Kbps 和 多 种 速率 ,最 高 可 达 EL 速率 。 

© SDSL( 对 称 DSL): 利用 单 对 双 绞 线 传输 ,支持 多 种 速率 ,最 高 到 T1/E1。 

®© MVL: Paradyne 公司 开发 的 低 成 本 对 称 DSL. 传输 技术 ,可 以 提供 上 、 下 行 
768Kbps 的 传输 速率 ,传输 距离 可 达 6km。 

® ADSL( 非 对 称 DSL): 利用 现 有 铜 双 绞 线 ( 即 普通 电话 线 ) ,提高 到 8Mbps 下 行 速 
度 ,1Mbps 上 行 速度 ,传输 距离 3 一 5km。 

(4) DDN 

我 国 原 邮电 部 于 1994 年 10 月 完成 了 全 国 数字 数据 骨干 网 的 一 期 建设 。 这 是 一 个 利 
用 光纤 .数字 微波 或 卫星 数字 交 驻 连接 设备 组 成 的 数字 数据 业务 网 。 这 些 数字 线路 出 租 
给 最 终 用 户 。 由 于 在 用 户 使 用 PPP 协议 拨号 上 网 的 时 候 , 发 送 、 接 收 数据 所 使 用 的 电话 
线路 是 不 明确 的 ,速率 根据 当时 线路 的 拥塞 情况 不 同 而 不 同 ,所 以 其 传输 是 低速 且 不 稳定 
的 。 对 于 某 些 需要 更 高 传输 速度 和 质量 的 用 户 ,可 以 租用 DDN 线路 。 这 相当 于 用 户 与 电 
信和 局 端 直接 用 一 条 定制 带宽 的 专用 电话 线路 相连 ,大 大 提高 了 数据 传输 的 稳定 性 和 速度 。 
这 项 业务 开通 后 ,被 用 户 广 泛 采 用 。 在 DDN 的 客户 端 需要 一 个 称 为 DDN Modem 的 
CSU/DSU 设备 以 及 一 个 路 由 器 ,其 价格 与 DDN 线路 的 带宽 相关 。 

(5) X.25 

X. 25 是 历史 最 悠久 的 广 域 数据 传输 协议 。 它 是 所 有 广 域 数 据 传输 协议 的 鼻祖 ,为 
广 域 传输 做 出 了 很 大 的 贡献 ,但 现在 其 应 用 越 来 越 少 。 

(6) FR( 帧 中 继 ) 

作为 X. 25 网 络 协议 的 发 展 , 帧 中 继 是 一 种 高 性 能 的 广域网 协议 。 它 是 X. 25 的 简化 
版 本 ,省 去 了 X. 25 的 一 些 强制 功能 ,如 提供 窗口 技术 和 数据 重 发 功能 ,这 是 因为 帧 中 继 
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的 设计 是 以 网 络 的 传输 环境 已 经 有 了 很 大 的 提高 为 前 提 的 。 

1990 4E. Cisco. Digital Equipment, Northern TeleCom 和 StartaCom 等 公司 组 成 一 
个 联合 体 ,共同 开发 了 帧 中 继 技 术 。 此 后 , 帧 中 继 技术 有 了 迅猛 发 展 。 从 整个 连接 上 , 帧 
中 继 与 X. 25 相当 类 似 , 但 它 在 数据 分 组 确认 和 差错 校 验 方法 上 有 了 很 大 的 简化 ,而 且 分 
组 的 转发 有 了 改变 。 帧 中 继 只 要 接 到 分 组 头 ,就 开始 转发 ,这 进一步 提高 了 速度 。 但 是 ， 
需要 强调 的 是 , 帧 中 继 在 网 络 环境 不 好 的 情况 下 ,将 无 法 像 X. 25 那样 提供 较 好 的 传输 质 
量 , 而 且 可 能 会 使 传输 质量 急剧 下 降 。 


任务 设计 (计划 ) 


简单 了 解 了 用 于 局 域 网 互联 涉及 的 基本 概念 后 ,下 面 根据 ThreeFour Software 公司 
的 具体 情况 提出 5 个 任务 来 解决 问题 。 

任务 3.1 路 由 器 基本 配置 

任务 3.2 静态 路 由 基本 配置 

任务 3.3 动态 路 由 基本 配置 
任务 3.4 PPP 协议 基本 配置 
任务 3.5 NAT 地 址 转换 基本 配置 


任务 实施 (实施 ) 


任务 31 路 由 器 基本 配置 


3.1.1 认识 路 由 器 


配置 路 由 器 之 前 ,首先 应 了 解 其 结构 及 配置 内 容 。 


1. 路 由 器 的 内 部 构成 


路 由 器 也 是 一 台 计算 机 , 它 的 硬件 与 计算 机 的 构成 相 类 似 , 其 内 部 是 一 块 大 规模 集成 
电路 板 和 一 些 插 槽 ,还 有 处 理 器 (CPU) 内 存 、 接 口 及 总 线 等 。 路 由 器 是 一 台 有 特殊 用 途 
的 专用 计算 机 ,专业 用 来 做 路 由 计算 用 的 计算 机 。 路 由 器 与 普通 计算 机 不 同 , 它 没有 显示 
器 硬盘 和 键盘 等 。 

CD 处 理 器 : 和 其 他 计算 机 一 样 ,运行 IOS 的 路 由 器 也 包含 了 一 个 “中 央 处 理 器 ” 
(CPU) 。 不 同系 列 和 型 号 的 路 由 器 ,CPU 不 尽 相 同 。 路 由 器 的 处 理 器 负责 执行 处 理 数据 
包 所 需 的 工作 ,比如 维护 路 由 和 桥接 所 需 的 各 种 表格 以 及 作出 路 由 决定 。 路 由 器 处 理 数 
据 包 的 速度 在 很 大 程度 上 取决 于 处 理 器 的 类 型 。 

© 随机 存储 器 (RAM,Random Access Memory): RAM 保存 路 由 表 、ARPCache tk 
交换 Cache、 分 组 缓和 (共享 RAM) 和 分 组 队列 ;RAM 还 在 路 由 器 通电 后 为 配置 文件 提供 
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运行 内 存 ;RAM 内 容 将 在 路 由 器 断 电 或 重启 断 电 后 丢失 。 

© 非 易 失 性 存储 器 (NVRAM, Non Volatile RAM): 保存 路 由 器 的 备份 /启动 
(backup/start-up) 配 置 文 件 ;NVRAM 内 容 在 断 电 或 重启 时 被 保持 。 

© 闪存 (Flash) : 易 擦 写 可 编程 ROM ,支持 操作 系统 的 映像 和 微 码 ;Flash 内 存 能 够 
进行 软件 升级 ,而 不 用 更 换 处 理 芯片 ;Flash 内 存在 断 电 或 重启 时 被 保持 ;Flash 内 存 能 够 
保存 多 版 本 的 IOS 软件 。 

© 接口 (Interface) : 路 由 器 的 全 部 作用 就 是 从 一 个 网 络 向 另 一 个 网 络 传递 数据 包 。 
路 由 器 的 接口 在 物理 上 将 路 由 器 连接 到 各 种 不 同类 型 的 网 络 上 。 最 重要 的 路 由 器 接口 是 
串 行 口 ( 它 通常 将 路 由 器 连接 到 广域网 链 路 上 ) 和 LAN 接口 ,如 图 3-3 所 示 。 


图 3-3 路 由 器 接口 


© 只 读 存 储 器 (ROM,Read Only Memory): 保存 通电 诊断 .引导 程序 和 操作 系统 软 
件 ;ROM 中 的 软件 升级 需要 更 换 可 插入 芯片 。 

CD 操作 系统 软件 : 不 同 的 路 由 器 产品 有 不 同 的 操作 系统 ,如 Cisco 路 由 器 的 操作 系统 
名 称 是 IOS, 锐 捷 路 由 器 的 操作 系统 名 称 是 RGNOS, 它 们 是 一 个 软件 映像 , 放 在 内 存 中 。 


2. 路 由 器 的 启动 顺序 


路 由 器 的 启动 分 为 四 部 分 : 加 电 自 检 、 加 载 引导 (bootstrap) 程 序 .查找 并 加 载 操作 系 
统 软件 以 及 查找 并 加 载 配置 文件 。 那 么 ,路 由 器 到 底 是 如 何 加 载 TOS 和 配置 文件 的 呢 ? 
下 面 将 详细 介绍 。 

CD 加 电 自 检 (POST) 是 每 台 计 算 机 启动 时 必 经 的 一 个 过 程 。 当 路 由 器 加 电 时 ,路 由 
器 ROM 芯片 上 的 软件 执行 自 检 。 在 这 种 自 检 过 程 中 ,路 由 器 通过 ROM 执行 诊断 ,主要 
针对 包括 CPU. RAM 和 NVRAM 在 内 的 几 种 硬件 组 件 。 自 检 完 成 后 ,路 由 器 将 执行 引 
导 程 序 。 

@ 自 检 完 成 后 ,路 由 器 自 带 的 引导 (bootstrap) 程 序 将 从 ROM 复制 到 RAM。 进 入 
RAM 后 ,CPU 执行 bootstrap 程序 中 的 指令 。 引 导 程 序 的 主要 任务 是 查找 路 由 器 操作 系 
统 软件 ,并 将 其 加 载 到 RAM。 此 时 ,如 果 有 连接 到 路 由 器 的 计算 机 ,用 户 会 看 到 屏幕 上 
开始 出 现 输出 内 容 。 如 果 NVRAM 中 有 有 效 的 启动 命令 (boot system) , 则 按照 启动 命 
令 来 启动 。 

C) 查找 操作 系统 软件 。 路 由 器 操作 系统 软件 通常 存储 在 闪存 中 ,也 可 能 存储 在 其 他 
位 置 , 如 TFTP( 简 单 文件 传输 协议 ) 服 务 器 上 。 如 果 不 能 找到 完整 的 操作 系统 软件 映像 ， 
会 从 ROM 将 精简 版 的 操作 系统 软件 复制 到 RAM 中 。 这 种 版 本 的 操作 系统 软件 一 般 用 
于 帮助 诊断 问题 ,也 可 用 于 将 完整 版 的 操作 系统 软件 加 载 到 RAM, JR NVRAM 中 没 
有 有 效 的 启动 命令 , 则 默认 加 载 Flash 中 的 第 一 个 操作 系统 软件 文件 。 

CD 查找 启动 配置 文件 。 路 由 器 操作 系统 软件 加 载 后 ,引导 程序 会 搜索 NVRAM 
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中 的 启动 配置 文件 (也 称 为 startup-config) 。 此 文件 含有 先前 保存 的 配置 命令 以 及 参 
数 , 包 括 接口 地 址 .路 由 人 信息、 口令、 网 络 管理 员 保 存 的 其 他 配置 。 如 果 启 动 配置 文 
件 startup-config 位 于 NVRAM. 会 将 其 复制 到 RAM 作为 运行 配置 文件 running- 
config。 如 果 Flash 没有 有 效 的 操作 系统 软件 ,会 试图 从 网 络 启动 ,查找 TFTP 服 
务 器 。 


3. 路 由 器 的 Setup 会 话 


当 NVRAM 里 没有 有 效 的 配置 文件 时 ,路 由 器 自动 进入 Setup 会 话 模式 ;也 可 在 命 
令 行 输入 Setup 命令 进行 配置 。 

Setup 命令 是 一 个 交互 式 的 命令 ,每 一 个 提问 都 有 一 个 默认 配置 。 如 果 采 用 默认 配 
置 , 按 Enter 键 即 可 。 如 果 系 统 已 经 配置 过 , 则 显示 目前 的 配置 值 。 如 果 是 第 一 次 配置 ， 
则 显示 出 厂 设 置 。 若 屏幕 显示 ” 一 -一 More -一 一 ”, 输 入 空格 键 继续 ;车 要 从 Setup 中 退 
出 , 按 Ctrl 十 C 键 即 可 。 

(1) Setup 主要 参数 

主机 名 : hostname 

特权 口令 :enable password 

虚 终端 口令 :virtual terminal password 

路 由 器 名 字 设 置 : Hostname string 

(2) Setup 接口 参数 

设置 以 太 网 口 、Token Ring H .同步 口 . 异 步 口 等 接口 参数 ,包括 TP 地 址 . 子 网 屏蔽 、 
Token Ring 速率 等 。 

(3) Setup 描述 

设置 参数 后 ,系统 提示 是 否 要 应 用 以 上 配置 。 如 果 回 答 “YES”, 系统 将 存储 配置 参 
数 , 系 统 就 可 以 使 用 了 。 


4. Setup 相关 命令 


show config 
write memory 
write erase 
reload 
setup 


3.1.2 初始 化 配置 路 由 器 


很 多 初学 路 由 器 的 读者 对 路 由 器 的 初始 配置 可 能 感到 很 陌生 ,由 于 路 由 器 操作 系统 
的 原因 ,在 初始 化 配置 时 很 多 信息 都 是 用 英文 提示 的 ,这 对 初学 者 来 说 是 一 个 很 大 的 难 
题 。 下 面 以 一 台 Cisco 路 由 器 的 启动 配置 过 程 为 例 ,讲解 初始 配置 过 程 。 

(D H Cisco 随机 带 的 Console 2 ,一 端 连 在 Cisco 路 由 器 的 Console 口 ,一 端 连 在 计 
算 机 的 COM H. 
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© 打开 计算 机 ,启动 超级 终端 ,为 连接 取 个 名 字 , 比 如 CISCO_SETUP。 下 一 步 , 选 
定 连 接 时 用 COMI 选 定 每 秒 位 数 为 9600, 数 据 位 为 8, 奇偶 校 验 为 无 ,停止 位 为 1 ,数据 流 
控制 为 无 ,最 后 单 击 “ 确 定 ” 按 钮 。 

© 打开 路 由 器 电源 ,超级 终端 将 出 现 以 下 信息 (以 下 信息 中 灰色 字符 为 输入 的 ): 


System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fcl) 
Copyright (c) 2000 by cisco Systems, Inc. 
Cisco 2621 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory 
Self decompressing the image: 
FEERESEEEEEEEESAETAEEEEEETETEETEEESETESESESTASETETEAEESEESSTEESTE[OK] 
Restricted Rights Legend 
Use, duplication, or disclosure by the Government issubject to restrictions as set forth in 
subparagraph (c) of the Commercial Computer Software - RestrictedRights clause at 
FAR sec. 52.227- 19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and 
ComputerSoftware clause at DFARS sec. 252.227- 7013. 
cisco Systems, Inc. 
170 West Tasman Drive 
San Jose, California 95134- 1706 
Cisco Internetwork Operating System Software 
IOS (tm) C2600 Software (C2600- I- M), Version 12.2 (28), RELEASE SOFTWARE (fc5) Technical 
Support: http://www.cisco.com/techsupport 
Copyright (c) 1986- 2005 by cisco Systems, Inc. 
Compiled Wed 27- Apr- 04 19:01 by miwang 
Cisco 2621 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory 
Processor board ID JAD05190MTZ (4292891495) 
M860 processor: part number 0, mask 49 
Bridging software. 
X.25 software, Version 3.0.0. 
2 FastEthernet/IEEE 802.3 interface (s) 
32K bytes of non- volatile configuration memory. 
63488K bytes of ATA CompactFlash (Read/Write) 
-- - System Configuration Dialog --- 
Continue with configuration dialog? [yes/no]: y 
(是 否 进入 初始 化 配置 对 话 , 选 Y. 对 于 熟悉 的 用 户 ,完全 可 以 不 使 用 这 个 对 话 过 程 ,直接 选择 N 进 
人 命令 行 状态 .) 
At any point you may enter a question mark'? "for help.Use ctrl- c to abort configuration 
dialog at any prompt. Default settings are in square brackets '[]'. (在 设置 对 话 过 程 中 的 任何 地 
方 都 可 以 键入 "?" 得 到 系统 的 帮助 , 按 ctrl+ Cc 可 以 退出 设置 过 程 ,默认 设置 将 显示 在 '[]' 中 .) 
Basic management setup configures only enough connectivity for management of the system, 
extended setup will ask you to configure each interface on the system. 
Would you like to enter basic management setup? [yes/no]: n 
(是 否 进 入 基本 配置 安装 , 选 N) 
First, would you like to see the current interface summary? [yes]: y 
(首先 ,是 否 看 一 下 当前 端口 状态 ) 


Current interface summary 


Interface IP- Address OK? Method Status Protocol 
FastEthernet0/0 unassigned YES manual administratively down down 
FastEthernet0/1 unassigned YES manual administratively down down 
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Configuring global parameters: (从 此 处 开始 ,路 由 器 设置 全 局 参数 ) 

Enter host name [Router]: RouterA (设备 路 由 器 名 ) 

The enable secret is a password used to protect access to privileged EXEC and configuration modes. 
This password, after entered, becomes encrypted in the configuration. 

Enter enable secret: aaa (设置 进入 特权 状态 的 密 文 ) 

The enable password is used when you do not specify an 

enable secret password, with some older software versions, and some boot images. 
Enter enable password: bbb (设置 进入 特权 状态 的 密码 ,不 能 和 密 文 相同 ) 

The virtual terminal password is used to Protect access to the router over a network 
interface. 

Enter virtual terminal password: ccc (设置 虚拟 终端 访问 时 的 密码 ,以 备 远程 登录 使 用 ) 
Configure SNMP Network Management? [no]: n (是否 配 置 简单 网 管 协 议 ,在 此 选 W) 
Configuring interface parameters:( 配 置 接口 参数 ) 

Do you want to configure FastEthernet0/0 interface? [no]: y 

IP address for this interface: 192.168.1.1 

(配置 该 接口 的 IP 地 址 为 192.168.1.1) 

Subnet mask for this interface [255.255.255.0] : 

配置 该 接口 的 子 网 掩 码 (默认 的 是 255.255.255.0, 可 以 手工 输入 来 修改 ) 

Do you want to configure FastEthernet0/1 interface? [no]: y 

IP address for this interface: 192.168.2.1 

(配置 该 接口 的 IP 地 址 为 192.168.2.1) 

Subnet mask for this interface [255.255.255.0]: 

人 配置 该 接口 的 子 网 掩 码 (默认 的 是 255.255.255.0, 可 以 手工 输入 来 修改 ) 

The following configuration command script was created: 

1 

hostname rl 

enable secret 5 $1$mERr$0qc4f9z9UYCi6V2sVqpTi . 

enable password bbb 

line vty 0 4 

password ccc 

1 

interface FastEthernet0/0 

no shutdown 

ip address 192.168.1.1 255.255.255.0 

interface FastEthernet0/1 

no shutdown 

ip address 192.168.2.1 255.255.255.0 

end 

(以 下 提示 是 否 保存 这 次 设置 ) 

[0] Go to the IOS command Prompt without saving this config. 

[1] Return back to the setup without saving this config. 

[2] Save this configuration to nvram and exit. 


Enter your selection [2]: 
Press RETURN to get started! 


(选择 2 保存 设置 并 存 人 NVRAM) 
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至 此 ,完成 了 一 个 新 路 由 器 的 基本 配置 , 接 下 来 可 以 完成 更 详细 的 配置 。 


任务 32 静态 路 由 基本 配置 


3.2.1 静态 路 由 概述 


静态 路 由 是 指 由 网 络 管理 员 手 动 配置 的 路 由 信息 。 当 网 络 的 拓扑 结构 或 链 路 状态 发 
生变 化 时 ,网 络 管理 员 需 要 手动 修改 路 由 表 中 相关 的 静态 路 由 信息 。 静 态 路 由 信息 在 默 
认 情 况 下 是 私有 的 ,不 会 传递 给 其 他 路 由 器 。 当 然 ,网 管 员 可 以 通过 设置 路 由 器 ,使 之 成 
为 共享 的 。 静 态 路 由 一 般 适 用 于 比较 简单 的 网 络 环境 。 在 这 样 的 环境 中 ,网 络 管理 员 易 
于 清楚 地 了 解 网 络 的 拓扑 结构 ,便于 设置 正确 的 路 由 信息 。 

还 有 更 重要 的 一 点 就 是 安全 。 动 态 路 由 选择 实际 上 总 是 力图 揭示 互联 网 络 中 的 每 一 件 
事情 。 为 了 安全 起 见 , 隐 藏 网 络 的 某 些 部 分 可 能 更 合适 些 。 静 态 路 由 选择 就 允许 互联 网 管 
理 人 员 指 定 在 有 限 的 网 络 划分 中 哪些 部 分 可 以 公开 哪些 部 分 应 该 隐藏 起 来 。 


3.2.2 静态 路 由 的 配置 


通过 配置 静态 路 由 ,用 户 可 以 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 。 在 网 络 结构 
比较 简单 , 且 到 达 某 一 网 络 所 经 过 的 路 径 唯 一 的 情况 下 ,可 采用 静态 路 由 。 

例如 ,配置 如 图 3-4 所 示 网 络 中 路 由 器 的 静态 路 由 (假定 图 中 的 所 有 网 络 均 采 用 C 类 
地 址 掩 码 ) 。 


R2 | 172.168.1.1/24 
172.168.3.2/24 


172.168.4.2/24 
172.168.5.2/24 


172.168.4.1/24 172.168.5.1/24 


图 3-4 静态 路 由 配置 网 络 拓扑 图 


CD 路 由 器 R1 的 配置 


hostname Rl 

interface ethernet 0 

ip address 172.16.4.1 255.255.255.0 
interface ethernet 1 

ip address 172.16.5.1 255.255.255.0 

ip route 172.16.1.0 255.255-255.0 172.16.4.2 
ip route 172.16.3.0 255.255.255.0 172.16.5.2 
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(2) 路 由 器 R2 的 配置 


hostname R2 

interface ethernet 0 

ip address 172.16.1.1 255.255.255.0 
interface ethernet 1 

ip address 172.16.4.2 255.255.255.0 

ip route 172.16.3.0 255.255.255.0 172.16.4.1 
ip route 172.16.5.0 255.255.255.0 172.16.4.1 


(3) 路 由 器 R3 的 配置 


hostname R3 

interface ethernet 0 

ip address 172.16.3.2 255.255.255.0 
interface ethernet 1 

ip address 172.16.5.2 255.255.255.0 

ip route 172.16.1.0 255.255.255.0 172.16.5.1 
ip route 172.16.4.0 255.255.255.0 172.16.5.1 


通过 以 上 配置 ,为 局 域 网 中 的 每 台 路 由 器 都 建立 了 静态 路 由 。 


3.2.3 默认 路 由 的 配置 


在 图 3-4 所 示 网 络 中 ,假定 在 局 域 网 中 要 通过 RI 向 外 连接 Internet, 路 由 器 下 一 跳 
接口 地 址 为 172. 16. 2.2, 由 于 此 时 不 知道 从 R1 向 外 连接 的 网 络 的 具体 地 址 ,也 就 无 法 配 
置 静态 路 由 ,此 时 需要 启用 默认 路 由 ,把 默认 路 由 指向 网 络 服务 提供 商 。 这 样 , 路 由 器 R1 
只 需要 知道 它 自己 内 部 网 络 中 的 各 个 目标 网 络 地 址 即 可 ,默认 路 巾 将 把 去 往 其 他 地 址 的 
数据 包 全 部 转发 给 Internet 服务 提供 商 。 本 例 默认 路 由 的 实现 命令 为 : 


ip route 0.0.0.0 0.0.0.0 172.16.2.2 


任务 33 动态 路 由 基本 配置 


动态 路 由 器 上 的 路 由 表 项 是 通过 相互 连接 的 路 由 器 之 间 交 换 信 息 , 然 后 按照 一 定 的 
算法 优化 出 来 的 ,这 些 路 由 信息 在 一 定时 间 间 隔 里 更 新 ,以 适应 不 断 变化 的 网 络 , 随 时 获 
得 最 优 的 寻 路 效果 。 为 了 实现 IP 分 组 的 高 效 寻 路 ,IETF 制定 了 多 种 寻 路 协议 ,其 中 ,用 
于 自治 系统 (AS,Autonomous System) 的 内 部 网 关 协 议 有 开放 式 最 短路 径 优 先 (OSPF ， 
Open Shortest Path First) 协议 和 寻 路 信息 协议 (RIP, Routing Information Protocol), 
所 谓 自治 系统 ,是 指 在 同一 实体 (如 学 校 ` 企 业 或 ISP) 管 理 下 的 主机 、 路 由 器 及 其 他 网 络 
设备 的 集合 。 
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3.3.1 RIP 协议 


RIP 是 路 由 信息 协议 (Routing Information Protocol) 的 缩写 , 它 采 用 距离 向 量 算法 ， 
是 当今 应 用 最 广泛 的 内 部 网 关 协 议 。 在 默认 情况 下 ,RIP 使 用 一 种 非常 简单 的 度量 制度 : 
距离 就 是 通 往 目 的 站 点 所 需 经 过 的 链 路 数 , 取 值 为 1 一 15, 数 值 16 表示 无 穷 大 。RIP iH 
程 使 用 UDP 的 520 端口 来 发 送 和 接收 RIP 分 组 。RIP 分 组 每 隔 30s 以 广播 的 形式 发 送 
一 次 ,为 了 防止 出 现 “ 广 播 风暴 ”, 其 后 续 的 分 组 随机 延 时 后 发 送 。 在 RIP 中 ,如 果 一 条 路 
由 在 180s 内 未 被 刷新 , 则 相应 的 距离 被 设 定 成 无 穷 大 ,并 从 路 由 表 中 删除 该 表 项 。RIP 
分 组 分 为 两 种 : 请 求 分 组 和 响应 分 组 。 

RIP-1 提出 较 早 ,其 中 有 许多 缺陷 。 为 了 改善 RIP-1 的 不 足 , 在 RFC 1388 中 提出 了 
改进 的 RIP-2 ,并 在 RFC 1723 和 RFC 2453 中 进行 了 修订 。RIP-2 定义 了 一 套 有 效 的 改 
进 方案 ,支持 子 网 路 由 选择 CIDR 和 组 播 ,并 提供 了 验证 机 制 。 

RIP 协议 简单 .易于 实施 ,可 供 大 多 数 路 由 器 免费 使 用 。 这 些 优 点 使 RIP 成 为 广 受 欢 
迎 的 路 由 协议 。 但 RIP 也 有 以 下 几 个 缺点 : 

O 支持 的 最 大 跳 数 为 15, 因 此 应 用 RIP 的 网 络 不 能 串 接 16 台 以 上 的 主机 。 

© 需 定期 发 送 路 由 表 的 完整 副本 到 直接 相连 的 邻居 。 在 大 型 网 络 中 ,这 可 能 导致 每 
次 更 新 时 产生 巨大 的 网 络 流量 。 

@ 大 型 网 络 发 生 改 变 时 ,网 络 收敛 的 速度 很 慢 。 


3.3.2 RIP 协议 配置 实例 


为 实现 公司 总 部 与 分 支 机 构 的 连接 ,通过 广域网 接口 连接 两 个 网 络 。 为 了 简化 操作 ， 
说 明 RIP 的 配置 ,将 两 个 接口 换 为 局 域 网 口 , 分 别 为 两 台 路 由 器 的 接口 分 配 IP 地 址 ,并 
配置 动态 路 由 协议 RIP, 这 样 , 两 个 区 域内 的 设备 通过 设置 IP 地 址 和 网 关 就 可 以 互相 通 
信 了 。 网 络 结构 如 图 3-5 所 示 。 


nonr e 
Fa0 [| 172.168.12.1 172.168.122 | 172.168.2.1 

172.168.1.1 
PCI: PC2: 


1P:172.168.1.10 
#09 : 255.255.255.0 
网 关 : 172.168.1.1 


IP:172.168.2.10 
1483 : 255.255.255.0 


na 网 关 : 172.168.2.1 
E 


PC2 


图 3-5 动态 路 由 协议 配置 拓扑 结构 


(1) 左 侧 路 由 器 配置 


Hostname Rl 
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Password 100 

Exit 

Enable password 100 

Interface fastehternet 0 

Ip address 172.16.1.1 255.255.255.0 
No shutdown 

Exit 

Interface fastethernet 1 

Ip address 172.16.12.1 255.255.255.0 
Router rip 

Network 172.16.1.0 

Network 172.16.12.0 


(2) 右 侧 路 由 器 配置 


Hostname R2 

Line vty 0 4 

Login 

Password 100 

Exit 

Enable password 100 

Interface fastehternet 0 

Ip address 172.16.2.1 255.255.255.0 
No shutdown 

Exit 

Interface fastethernet 1 

Ip address 172.16.12.2 255.255.255.0 
Router rip 

Network 172.16.1.0 

Network 172.16.12.0 


配置 完成 后 重启 路 由 器 , 按 图 示 将 两 台 计 算 机 的 相关 参数 设置 好 。 这 两 台 机 器 之 间 
如 能 互相 ping 通 , 说 明 RIP 动态 路 由 协议 配置 正确 。 


3.3.3 OSPF 协议 


OSPF (Open Shortest Path First, 开 放 式 最 短路 径 优先 ) 是 一 个 内 部 网 关 协 议 , 用 于 
在 单一 自治 系统 内 决策 路 由 。 与 RIP 相对 ,OSPF 是 链 路 状态 路 由 协议 ,而 RIP 是 距离 
向 量 路 由 协议 。 链 路 状态 协议 以 其 良好 的 分 层 设 计 和 足以 支持 大 型 网 络 的 可 扩展 性 广泛 
应 用 于 企业 网 络 中 并 博得 众多 ISP 的 青睐 。 距 离 矢量 协议 通常 不 适合 用 在 复杂 的 企业 
网 络 中 。 


1. OSPF 的 起 源 


IETF 为 了 满足 建造 越 来 越 大 的 基于 IP 网 络 的 需要 ,形成 了 一 个 工作 组 ,专门 用 于 
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开发 开放 式 的 链 路 状态 路 由 协议 :以便 用 在 大 型 . 异 构 的 TP 网 络 中 。 新 的 路 由 协议 以 已 
经 取得 成 功 的 一 系列 私人 的 .和 生产 商 相关 的 最短 路径 优先 (SPF) 路 由 协议 为 基础 。 包 
括 OSPF 在 内 ,所 有 的 SPF 路 由 协议 基于 一 个 数学 算法 一 一 Dijkstra 算法 。 这 个 算法 能 
使 路 由 选择 基于 链 路 状态 ,而 不 是 距离 向 量 。OSPF H IETF 在 20 世纪 80 年 代 末 期 开 
发 ,是 SPF 类 路 由 协议 中 的 开放 式 版 本 。 

链 路 是 路 由 器 接口 的 另 一 种 说 法 ,因此 OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通 
过 路 由 器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 ,生成 最 短路 径 树 ,每 个 OSPF 
路 由 器 使 用 这 些 最 短路 径 构造 路 由 表 。 

OSPF 路 由 协议 一 般 用 于 同一 个 路 由 域内 。 在 这 里 ,路 由 域 指 一 个 自治 系统 
(Autonomous System), 即 AS, 是 指 一 组 通过 统一 路 由 政策 或 路 由 协议 交换 路 由 信息 的 
网 络 。 在 这 个 AS 中 ,所 有 的 OSPF 路 由 器 都 维护 一 个 相同 的 描述 该 AS 结构 的 数据 库 ， 
该 数据 库 中 存放 的 是 路 由 域 中 相应 链 路 的 状态 信息 。OSPF 路 由 器 正 是 通过 这 个 数据 库 
计算 出 其 OSPF 路 由 表 的 。 

作为 一 种 链 路 状态 的 路 由 协议 ,OSPF 将 链 路 状态 广播 数据 包 LSA (Link State 
Advertisement) 传 送 给 在 某 一 区 域内 的 所 有 路 由 器 ,这 一 点 与 距离 矢量 路 由 协议 不 同 。 
运行 距离 矢量 路 由 协议 的 路 由 器 是 将 部 分 或 全 部 的 路 由 表 传递 给 予 其 相 邻 的 路 由 器 。 


2. OSPF 的 Hello 协议 


Hello 协议 的 作用 如 下 : 

O 用 于 发 现 邻 居 ; 

@ 在 成 为 邻居 之 前 ,必须 对 Hello 包 里 的 一 些 参 数 协商 成 功 ; 

@ Hello 包 在 邻居 之 间 扮 演 着 keepalive 的 角色 ; 

D 允许 邻居 之 间 的 双向 通信 ; 

(9 它 在 NBMA(Nonbroadcast Multi-Access) 网 络 上 选举 DR 和 BDR. 


3. OSPF 的 网 络 类 型 


OSPF 定义 的 5 种 网 络 类 型 为 : 点 到 点 网 络 .广播 型 网 络 NBMA 网 络 、 点 到 多 点 网 
络 和 虚 链 接 (Virtual Link) 。 

D 点 到 点 网 络 : 如 TI 线路 ,是 连接 单独 的 一 对 路 由 器 的 网 络 。 点 到 点 网 络 上 的 有 
效 邻 居 总 是 可 以 形成 邻接 关系 。 在 这 种 网 络 上 ,OSPF 包 的 目标 地 址 使 用 的 是 224. 0. 0. 5， 
这 个 组 播 地 址 称 为 All SPF Routers. 

@ 广播 型 网 络 : WARR Token Ring 和 FDDI。 这 样 的 网 络 上 会 选举 一 个 DR 和 
BDR.DR/BDR 发 送 的 OSPF 包 的 目标 地 址 为 224. 0. 0.5, 运 载 这 些 OSPF 包 的 帧 的 目标 
MAC 地 址 为 0100. 5E00. 0005。 除 了 DR/BDR 以 外 的 OSPF 包 的 目标 地 址 为 224. 0. 0. 6 ,这 
个 地 址 叫做 All D Routers。 

@ NBMA 网 络 : 如 X. 25, 帧 中 继 和 ATM ,不 具备 广播 的 能 力 ,因此 邻居 要 人 工 指 
定 。 在 这 样 的 网 络 上 要 选举 DR 和 BDR.OSPF 包 采 用 单 播 (unicast) 的 方式 。 

CD 点 到 多 点 网 络 : 是 NBMA 网 络 的 一 个 特殊 配置 ,可 以 看 成 是 点 到 点 链 路 的 集合 。 
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在 这 样 的 网 络 上 不 选举 DR 和 BDR., 

© 虚 链接 : OSPF 包 以 单 播 Cunicast) 的 方式 发 送 。 

所 有 网 络 可 以 归纳 成 两 种 网 络 类 型 , 即 传输 网 络 (Transit Network) 和 末梢 网 络 
(Stub Network). 


4. OSPF 的 DR 和 BDR 


在 DR 和 BDR 出 现 之 前 ,每 一 台 路 由 器 和 其 邻居 之 间 成 为 完全 网 状 的 OSPF 邻接 关 
系 ,这 样 ,5 台 路 由 器 之 间 将 形成 10 个 邻接 关系 ,同时 产生 25 条 LSA。 而 且 在 多 址 网 络 
中 ,还 存在 自己 发 出 的 LSA 从 邻居 的 邻居 发 回来 ,导致 网 络 上 产生 很 多 LSA 的 复制 的 情 
况 , 所 以 产生 了 DR 和 BDR, 

DR 将 完成 如 下 工作 : 描述 这 个 多 址 网 络 和 该 网 络 上 的 其 他 相关 路 由 器 ;管理 这 个 多 
址 网 络 上 的 Flooding( 洪 泛 法 ) 过 程 ;为 了 元 余 性 ,还 会 选取 一 个 BDR ,作为 双 备份 之 用 。 

DR/BDR 选举 是 以 接口 状态 机 的 方式 触发 的 ,其 规则 如 下 : 

CD 路 由 器 的 每 个 多 路 访问 (multi-access) 接 口 都 有 路 由 器 优先 级 (Router Priority), 
这 是 个 8 位 长 的 整数 ,范围 是 0 一 255。Cisco 路 由 器 默认 的 优先 级 是 1 ,优先 级 为 0 将 不 
能 选举 为 DR/BDR。 优 先 级 可 以 通过 命令 “ip ospf priority” 进 行 修改 。 

© Hello 包 里 包含 了 优先 级 的 字段 ,还 包括 可 能 成 为 DR/BDR 的 相关 接口 的 TP 
地 址 。 

© 当 接 口 在 多 路 访问 网 络 上 初次 启动 的 时 候 , 它 把 DR/BDR 地 址 设置 为 0. 0. 0. 0， 
同时 设置 等 待 计时 器 (wait timer) 的 值 等 于 路 由 器 无 效 间隔 (Router Dead Interval). 

DR/BDR 的 选举 过 程 如 下 所 示 : 

CD 在 和 邻居 建立 双向 (2-Way) 通 信之 后 ,检查 邻居 Hello 包 的 优先 级 以 及 DR 和 
BDR 字段 , 列 出 所 有 可 以 参与 DR/BDR 选举 的 邻居 。 所 有 路 由 器 声明 它们 自己 就 是 
DR/BDR( Hello 包 中 DR 字段 的 值 就 是 它们 自己 的 接口 地 址 ;BDR 字段 的 值 就 是 它们 自 
己 的 接口 地 址 ) 。 

@ 从 这 个 有 参与 选举 DR/BDR 权 的 列表 中 创建 一 组 没有 声明 自己 就 是 DR 的 路 由 
器 的 子 集 ( 声 明 自 己 是 DR 的 路 由 器 将 不 会 被 选举 为 BDR ) 。 

O 在 这 个 子 集 里 ,不 管 有 没有 宣称 自己 就 是 BDR, 在 Hello 包 中 ,BDR 字段 就 等 于 
接口 的 地 址 ,优先 级 最 高 的 就 被 选举 为 BDR; 如 果 优 先 级 都 一 样 ,RID 最 高 的 被 选举 
为 BDR。 

由 在 Hello 包 中 ,DR 字段 就 等 于 接口 的 地 址 ,优先 级 最 高 的 就 被 选举 为 DR; 如 果 优 
先 级 都 一 样 ,RID 最 高 的 选举 为 DR; 如 果 选 出 的 DR 不 能 工作 ,那么 新 选举 的 BDR 成 为 
DR ,再 重新 选举 一 个 BDR。 

© 注意 , 当 网 络 中 选举 了 DR/BDR 后 ,又 出 现 了 1 台新 的 优先 级 更 高 的 路 由 器 ,DR/ 
BDR 不 会 重新 选举 。 

© DR/BDR 选举 完成 后 ,所 有 路 由 器 将 组 播 Hello 包 到 All SPF Routers( 地 址 
224. 0.0. 5) ,以 便 它们 能 跟踪 其 他 邻居 的 信息 , 即 DR 将 洪 泛 update packet( 链 路 状态 更 
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新 包 ) 到 224. 0.0.5;DR other 只 组 播 update packet 到 All DRouter( 地 址 224. 0. 0. 6) ,只 
有 DR/BDR 监听 这 个 地 址 。 


5. OSPF 区 域 


链 路 状态 路 由 在 设计 时 需要 一 个 层次 性 的 网 络 结构 。OSPF 网 络 分 为 两 个 级 别 的 层 
次 , 即 骨 干 区 域 (backbone or area 0) 和 非 骨 干 区域 (nonbackbone areas) 。 

在 一 个 OSPF 区 域 中 只 能 有 一 个 骨干 区 域 ,可 以 有 多 个 非 骨 干 区 域 。 骨 干 区 域 的 区 
域 号 为 0。 

各 非 骨干 区 域 间 是 不 可 以 交换 信息 的 ,它们 只 有 与 骨干 区 域 相连 ,通过 骨干 区 域 交换 
信息 。 

非 骨 干 区 域 和 骨干 区 域 之 间 相 连 的 路 由 叫 边 界 路 由 (ABR ,Area Border Routers) ,只 
有 ABR 记载 了 各 区 域 的 所 有 路 由 表 。 各 非 骨干 区 域内 的 非 ABR 只 记载 本 区 域内 的 路 
由 表 , 若 要 与 外 部 区 域 中 的 路 由 相连 ,只 能 通过 本 区 域 的 ABR, H ABR 连 到 骨干 区 域 的 
BR ,再 由 骨干 区 域 的 BR 连 到 要 到 达 的 区 域 。 

骨干 区 域 和 非 骨 干 区 域 的 划分 ,大 大 减轻 了 区 域内 工作 路 由 的 负担 。 


6. OSPF 末梢 区 域 


由 于 不 是 每 台 路 由 器 都 需要 外 部 网 络 的 信息 ,为 了 减少 LSA 泛 洪 量 和 路 由 表 条 目 ， 
创建 了 末梢 区 域 ,位 于 Stub 边界 的 ABR 将 宣告 一 条 默认 路 由 到 所 有 Stub 区 域 的 内 部 路 
ma. 


7. OSPF 单 域 的 基本 配置 命令 
(1) 配置 LOOPBACK 接口 地 址 


ROUTER (config)# interface loopbac k 0 
ROUTER (config)# ip address IP 地址 掩 码 


(2) 启动 OSPF 路 由 进程 

ROUTER (config)# router ospf 进程 号 

(3) 指定 OSPF 协议 运行 的 接口 和 所 在 的 区 域 
ROUTER (config)# network 网 络 号 反 向 掩 码 AREA 区 域 号 
(4) 修改 接口 的 COST 值 

ROUTER (config) # ip ospf cost cost 值 

(5) 查看 邻居 列表 


ROUTER# show ip ospf neighbor 
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3.3.4 OSPF 协议 配置 实例 


前 面 使 用 RIP 动态 路 由 协议 进行 了 配置 .在 此 仍 以 图 3-4 所 示 网 络 为 例 来 配置 
OSPF 动态 路 由 协议 。 
(1) 左 侧 路 由 器 配置 


Hostname R1 

Line vty 0 4 

Login 

Password 100 

Exit 

Enable password 100 

Interface fastehternet 0 

Ip address 172.16.1.1 255.255.255.0 

No shutdown 

Exit 

Interface fastethernet 1 

Ip address 172.16.12.1 255.255.255.0 

Router ospf 1 ! 创 建 oSPF 动态 路 由 协议 ,并 给 予 进 程 号 "1” 
Network 172.16.1.0 0.0.0.255 area 0 ! 宣 布 有 哪些 网 络 与 该 网 络 相连 
Network 172.16.12.0 0.0.0.255 area 0 


(2) 右 侧 路 由 器 配置 


Hostname R2 

Line vty 0 4 

Login 

Password 100 

Exit 

Enable password 100 

Interface fastehternet 0 

Ip address 172.16.2.1 255.255.255.0 
No shutdown 

Exit 

Interface fastethernet 1 

Ip address 172.16.12.2 255.255.255.0 
Router ospf 1 

Network 172.16.1.0 0.0.0.255 area 0 
Network 172.16.12.0 0.0.0.255 area 0 


设置 完成 后 重启 路 由 器 ,可 以 按 图 示 设 置 两 台 计算 机 的 相关 参数 。 两 台 机 器 之 间 如 
能 互相 ping 通 , 说 明 OSPF 动态 路 由 协议 配置 正确 。 
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任务 34 PPP 协议 基本 配置 


3.4.1 PPP 协议 的 工作 原理 


1. PPP 协议 的 概念 


点 对 点 协议 (PPP) 为 在 点 对 点 连接 上 传输 多 协议 数据 包 提 供 了 一 个 标准 方法 。PPP 
最 初 设计 为 两 个 对 等 节点 之 间 的 TP 流量 传输 提供 一 种 封装 协议 。 在 TCP/IP 协议 集中 ， 
它 是 一 种 用 来 同步 调制 连接 的 数据 链 路 层 (OSI 参考 模型 中 的 第 二 层 ) ,替代 了 原来 非 标 
准 的 第 二 层 协议 , 即 SLIP. BR IP 以 外 ,PPP 还 可 以 携带 其 他 协议 ,包括 DECnet 和 
Novell 的 Internet 分 组 交换 (IPX). 


2. PPP 的 工作 原理 


点 对 点 协议 (PPP) 也 是 一 种 用 于 串 行 链 路 的 数据 链 路 层 封 装 。 它 使 用 分 层 式 体系 结 
构 来 封装 ,并 在 一 条 点 对 点 链 路 上 承载 多 协议 的 数据 报 。 由 于 PPP 是 基于 标准 的 协议 ， 
它 能 够 支持 不 同 厂商 设备 之 间 的 通信 。 

以 下 接口 可 支持 PPP: 异步 串 行 接口 .同步 串 行 接口 高速 串 行 接口 (HSSI) 和 集成 
服务 数字 网 络 (ISDN)。 

PPP 有 以 下 两 个 子 协议 : 

CD 链 路 控制 协议 : 负责 建立 .维护 和 终止 点 对 点 链 路 。 

@ 网 络 控制 协议 : 供 不 同 的 网 络 层 协议 进行 交互 。 

PPP 会 话 要 经 过 三 个 阶段 : 链 路 建立 .身份 验证 (可 选 ) 以 及 网 络 层 协议 。 在 PPP D) 
议会 话 中 可 以 选择 是 否 对 PPP 链 路 执行 身份 验证 。 若 配置 了 此 功能 ,身份 验证 将 发 生 在 
链 路 建立 之 后 ,网 络 层 协议 配置 阶段 开始 之 前 。PPP 链 路 上 的 身份 验证 分 为 两 种 类 型 ， 
即 口令 验证 协议 (PAP) 和 挑战 握手 验证 协议 (CHAP)。 

为 了 建立 点 对 点 链 路 通信 ,PPP 链 路 的 每 一 端 必须 首先 发 送 LCP 包 , 以便 设 定 和 测 
试 数据 链 路 。 在 链 路 建立 ,并 且 LCP 所 需 的 可 选 功能 确定 之 后 ,PPP 必须 发 送 NCP 包 ， 
以 便 选择 和 设 定 一 个 或 更 多 个 网 络 层 协议 。 一 旦 每 个 被 选择 的 网 络 层 协议 都 被 设 定好 ， 
来 自 每 个 网 络 层 协 议 的 数据 报 就 能 在 链 路 上 发 送 了 。 

链 路 将 保持 通信 设 定 不 变 , 直 到 有 LCP 和 NCP 数据 包 关闭 链 路 ,或 者 是 发 生 了 外 部 
事件 (如 休止 状态 的 定时 器 期 满 ,或 者 网 络 管理 员 干 涉 ) 。 


3.4.2 PAP 验证 


1. PAP 身份 验证 简介 


PAP 为 远程 设备 提供 了 一 种 证 实 身份 的 简单 方法 。PAP 使 用 双向 握手 来 发 送 其 用 
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户 名 和 口令 。 被 呼叫 的 设备 将 查找 呼叫 方 设备 的 用 户 名 ,检查 其 发 送 的 口令 是 否 与 数据 
库 中 存储 的 一 致 。 如 果 两 个 口令 匹配 , 则 验证 成 功 。 

PAP 以 明文 方式 通过 链 路 反复 传送 用 户 名 /口令 对 ,直到 收 到 验证 的 确认 信息 或 连 
接 结 束 为 止 。 此 验证 方法 无 法 防止 用 户 名 和 口令 被 数据 包 嗅 探 器 (一 种 并 联 在 网 络 中 的 
监听 网 络 数据 包 的 设备 , 它 可 以 是 硬件 也 可 以 是 软件 ) 窃 取 。 

此 外 ,远程 节点 控制 着 登录 尝试 的 频率 和 时 间 。 一 旦 通过 验证 ,远程 设备 上 就 不 会 再 
做 任何 查证 。 由 于 没有 持续 的 验证 机 制 , 链 路 的 已 验证 连接 非常 容易 遭 到 劫持 ,黑客 也 可 
能 通过 重播 攻击 非法 获得 访问 权 。 


2. PAP 验证 过 程 


PAP 验证 可 以 在 一 方 进行 , 即 由 一 方 验 证 另 一 方 身 份 ;也 可 以 进行 双向 身份 验证 ,这 
时 要 求 被 验证 的 双方 都 要 通过 对 方 的 验证 程序 ,否则 无 法 建立 二 者 之 间 的 链 路 。 下 面 以 
单方 认证 为 例 , 分 析 PAP 配置 过 程 及 诊断 方法 ,如 图 3-6 所 示 。 


用 户 名 + 密码 
E uw 


图 3-6 PAP 验证 原理 


3.4.3 PPP PAP 验证 过 程 配置 实例 


1. PPP PAP 验证 拓扑 结构 (如 图 3-7 所 示 ) 


Router A Router B 


G3 Stl =< ) 


图 3-7 PPP PAP 验证 拓扑 结构 


在 PAP 配置 中 ,用 户 名 为 Red-Giant, 设 定 密 码 Router, 验证 方 的 IP 地 址 为 
1.1.1. 1/24; 被 验证 方 的 IP 地 址 为 1. 1. 1. 2/24 ,要 求 设 定 的 用 户 名 和 密码 与 验证 方 一 
FÉ. Router A 为 被 验证 方 ,Router B 为 验证 方 。 


2. 配置 过 程 


(D Router A 配置 


Red- Giant# config terminal 

Red- Giant (config) # interface Serial0 

! 配 置 IP 地 址 

Red- Giant (config- if) # ip address 1.1.1.2 255.255.255.0 
! 封 装 PPP 协 议 

Red- Giant (Config- if)# encapsulation ppp 
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Red- Giant (config- if) # bandwidth 2000000 
Red- Giant (config- if)# clock rate 64000 
! 设 置 PAP 验证 的 用 户 名 和 密码 


Red- Giant (config- if)#ppp pap sent- username Red- Giant password 0 Router 
Q) Router B 配置 


Red- Giant# config terminal 

Red- Giant (config) # username Red- Giant password 0 Router 
Red- Giant (config) # interface SerialO 

! 配 置 IP 地 址 

Red- Giant (config- if)# ip address 1.1.1.1 255.255.255.0 
! 封 装 PPP 协 议 

Red- Giant (config- if)#encapsulation ppp 

! 设 定 PPP 的 验证 方式 

Red- Giant (config- if)#ppp authentication pap 


3. 验证 命令 


Show interface Serial0 
Debug ppp authentication 


3.4.4 CHAP 验证 


1. CHAP 验证 简介 


CHAP 验证 是 一 种 比 PAP 验证 更 安全 的 身份 验证 过 程 。CHAP 不 会 在 链 路 上 发 送 
明文 口令 ,不 仅 初次 建立 连接 时 会 进行 身份 验证 ,在 链 路 活动 期 间 还 将 反复 进行 身份 验 


证 。 身 份 验证 的 频率 和 时 机 由 被 叫 设备 控制 ,因此 
被 验证 方 _ 主 机 名 + 随机 数据 包 “二 


劫持 攻击 几乎 不 可 能 实现 。 eza 主机 名 + 加 密 后 数据 包 P 
CHAP 使 用 三 次 握手 验证 (如 图 3-8 所 示 ) ,其 通过 /拒绝 
验证 过 程 如 下 : 


图 3-8 CHAP 三 次 握手 验证 
(D 主 验证 方向 被 验证 方 发 送 一 些 随机 产生 的 


数据 包 , 同 时 附带 本 方 主机 名 一 起 发 送 给 被 验证 方 。 

© 被 验证 方 接收 到 对 方 发 送 的 验证 请 求 (Challenge) 时 ,根据 此 数据 包 中 的 主 验证 方 
的 主机 名 和 本 方 的 用 户 数据 库 查 找 用 户口 令 。 如 果 找 到 用 户 数 据 库 中 与 主 验证 方 主机 名 
相同 的 用 户 ,便利 用 接收 到 的 随机 数据 包 和 主 验证 方 的 密 钥 ,采用 MD5 算法 生成 应 答 ， 
将 应 答 和 自己 的 主机 名 送 回 。 

© 主 验证 方 接收 到 应 答 后 ,利用 对 方 的 用 户 名 在 自己 的 用 户 数据 库 中 查找 本 方 保留 
的 口令 ,根据 本 方 保留 的 密 钥 和 随机 报 文 ,采用 MD5 算法 得 出 结果 ,与 被 验证 方 应 答 比 
较 , 返 回 相 应 的 结果 。 

CHAP 对 端 系 统 要 求 很 高 ,因为 需要 进行 多 次 身份 质询 、 响 应 ,这 将 耗费 较 多 的 CPU 
资源 ,因此 只 用 在 对 安全 要 求 很 高 的 场合 。 
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2. CHAP 验证 服务 器 的 配置 


CHAP 验证 服务 器 的 配置 分 为 两 个 步骤 : 建立 本 地 口令 数据 库 和 要 求 进行 CHAP 
验证 。 

CD 建立 本 地 口令 数据 库 

通过 全 局 模式 下 的 命令 “username username password password" 来 为 本 地 口令 数据 
库 添加 记录 。 请 注意 ,此 处 的 username 应 该 是 对 端 路 由 器 的 名 称 , 即 routerb, 如 下 所 示 : 


RouterA (config)#username routerb password samepass 


(2) 要 求 进行 CHAP 验证 
这 需要 在 相应 接口 配置 模式 下 使 用 命令 “ppp authentication chap” 来 完成 ,如 下 
所 示 : 


RouterA (config)# interface serial 0/0 
RouterA (config- if)#ppp authentication chap 


3. CHAP 验证 客户 端的 配置 


CHAP 验证 客户 端的 配置 只 需要 一 个 步骤 (命令 ), 即 建立 本 地 口令 数据 库 。 请 注 
意 , 此 处 的 username 应 该 是 对 端 路 由 器 的 名 称 , 即 routera, O S MIZA CHAP 验证 服务 
器 口令 数据 库 中 的 口令 相同 ,如 下 所 示 : 


RouterB (config- if) # username routera password samepass 


3.4.5 PPP CHAP 验证 过 程 配 置 实例 


1. PPP CHAP 验证 拓扑 结构 (如 图 3-9 所 示 ) 


Router A Router B 


Zah SO: 1.1.1.1/24 S0: D = 


图 3-9 PPP CHAP 验证 拓扑 结构 


对 于 PPP CHAP 验证 的 配置 ,Router A 为 验证 方 ,IP 地 址 为 1. 1. 1. 1/24, 主 机 名 为 
Router A, 要 求 口令 为 Router, 建 立 的 用 户 列表 中 包括 Router B 的 主机 名 ;Router BA 
验证 方 ,IP 地 址 为 1. 1. 1. 2/24, 主 机 名 为 Router 也 ,口令 发 送 为 Router. 


2. 配置 过 程 
(D Router A 配置 
Red- Giant# config terminal 


! 设 置 主机 名 


Red- Giant (config) # hostname RouterA 
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! 设 置 用 户 名 和 密码 的 列表 

RouterA (config)#username RouterB password 0 Router 
RouterA (config)#username RouterC password 0 Router 
RouterA (config) # interface serial0 

! 封 装 协议 

RouterA (config- if)#encap ppp 

RouterA (config- if) # bandwidth 2000000 

RouterA (config- if) # clock rate 64000 

! 设 置 IP 地 址 

RouterA (config- if)# ip address 1.1.1.1 255.255.255. 
RouterA (config- if)$ ppp chap hostname RouterA 
RouterA (config- if)$ ppp chap password 0 Router 


@ Router B 配置 


Red- Giant (config) # hostname RouterB 

! 以 对 方 的 主机 名 作为 用 户 名 ,密码 和 对 方 路 由 器 的 密码 设 定 一 致 
RouterB (config)#username RouterA password 0 Router 

RouterB (config)# interface serial0 

! 封 装 协议 

RouterB (config-if)#encap ppp 

RouterB (config- if)#ppp auth chap! 设 置 ITP 地 址 

RouterB (config- if)# ip address 1.1.1.2 255.255.255.0 


3. 验证 命令 


Show interface Serial0 
Debug ppp authentication 


任务 35 ”NAT 地 址 转换 基本 配置 


计算 机 接 人 互联 网 时 ,必须 具有 唯一 的 IP 地 址 。 然 而 随 着 网 络 的 普及 ,可 用 的 IPv4 
地 址 已 经 远 远 不 能 满足 需求 。 尽 管 IPv6 可 以 解决 这 个 问题 ,但 在 将 IPv6 全 部 实施 到 
Internet 上 还 需要 一 些 时 间 。 目 前 ,网 络 地 址 转换 (NAT,Network Address Translation) 
是 用 来 解决 IP 地 址 不 足 的 重要 手段 。 


3.5.1 NAT 实现 方式 


NAT 的 实现 方式 有 三 种 , 即 静 态 NAT 动态 NAT 和 端口 多 路 复 用 。 
静态 转换 是 指 将 内 部 网 络 的 私有 TP 地 址 转换 为 公有 IP 地 址 。 将 一 个 内 部 本 地 地 址 
映射 为 一 个 全 局 或 公有 地 址 。 这 样 的 映射 可 确保 特定 的 内 部 本 地 地 址 始终 与 同一 个 公有 
SH SEI. RAS NAT 可 确保 外 部 设备 始终 能 到 达 内 部 设备 。 例 如 ,向 外 界 开 放 的 
Web 服务 器 和 FTP 服务 器 。 
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动态 转换 是 指 将 内 部 网 络 的 私有 TP. 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 是 不 确定 
的 ,是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 的 合法 IP 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 ， 
就 可 以 进行 动态 转换 。 动 态 转 换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合法 IP 
地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 方式 。 

端口 多 路 复 用 (PDM ,Port Division Multiplexing) 是 指 改 变 外 出 数据 包 的 源 端 口 并 
进行 端口 转换 , 即 端 口 地 址 转换 (PAT,Port Address Translation) 。 采 用 端口 多 路 复 用 方 
式 , 内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 实现 对 Internet 的 访问 ,从 而 最 
大 限度 地 节约 IP 地 址 资源 。 同 时 ,可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避免 来 自 Internet 
的 攻击 。 因 此 ,目前 网 络 中 应 用 最 多 的 就 是 端口 多 路 复 用 方式 。 


3.5.2 网 络 地 址 转换 (NAT) 的 实现 


在 网 络 地 址 转换 之 前 ,首先 必须 搞 清楚 内 部 接口 和 外 部 接口 ,以 及 在 哪个 外 部 接口 上 
启用 NAT。 通 常情 况 下 ,连接 到 用 户 内 部 网 络 的 接口 是 NAT 内 部 接口 ,连接 到 外 部 网 
络 ( 如 Internet) 的 接口 是 NAT 外 部 接口 。 


1. 静态 地 址 转换 的 实现 


假设 内 部 局 域 网 使 用 的 TP. 地 址 段 为 172. 16.0. 1 一 172. 168. 0.254, 路 由 器 局 域 网 端 
口 ( 即 默 认 网 关 ) 的 IP 地 址 为 172. 168. 0. 1, 子 网 掩 码 为 255. 255. 255. 0。 网 络 分 配 的 合 
法 IP 地 址 范围 为 61. 159. 62. 128 — 61. 159. 62. 135, 路 由 器 在 广域网 中 的 IP. 地 址 为 
61. 159. 62. 129 , 子 网 掩 码 为 255. 255. 255. 248, 可 用 于 转换 的 IP 地 址 范围 为 61. 159. 62. 
130~61. 159. 62. 134。 要 求 将 内 部 网 址 172. 16. 0. 2 一 172. 168. 0. 6 分 别 转换 为 合法 IP 
地 址 61. 159. 62. 130~61, 159. 62. 134。 

第 一 步 , 设 置 外 部 端口 。 

interface serial 0 


ip address 61.159.62.129 255.255.255.248 
ip nat outside 


第 二 步 ,设置 内 部 端口 。 


interface ethernet 0 
ip address 192.168.0.1 255.255.255.0 
ip nat inside 


第 三 步 , 在 内 部 本 地 地 址 与 内 部 合法 地 址 之 间 建 立 静 态 地 址 转换 。 
ip nat inside source static 内 部 本 地 地 址 内 部 合法 地 址 
示例 : 


ip nat inside source static 192.168.0.2 61.159.62.130 
! 将 内 部 网 络 地 址 192.168.0.2 转 换 为 合法 IP 地 址 61.159.62.130 
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ip nat inside source static 192.168.0.3 61.159.62.131 

! 将 内 部 网 络 地 址 192.168.0.3 转 换 为 合法 IP 地 址 61.159.62.131 
ip nat inside source static 192.168.0.4 61.159.62.132 

! 将 内 部 网 络 地 址 192.168.0.4 转 换 为 合法 IP 地 址 61.159.62.132 
ip nat inside source static 192.168.0.5 61.159.62.133 

! 将 内 部 网 络 地 址 192.168.0.5 转 换 为 合法 IP 地 址 61.159.62.133 
ip nat inside source static 192.168.0.6 61.159.62.134 

! 将 内 部 网 络 地址 192.168.0.6 转 换 为 合法 IP 地 址 61.159.62.134 


2. 动态 地 址 转换 的 实现 


假设 内 部 网 络 使 用 的 IP 地 址 段 为 172. 16. 100. 1 一 172. 16. 100. 254 ,路 由 器 局 域 网 
端口 ( 即 默认 网 关 ) 的 IP 地 址 为 172. 16. 100. 1 , 子 网 掩 码 为 255. 255. 255.0。 网 络 分 配 的 
合法 IP 地 址 范围 为 61. 159. 62. 128 一 61. 159. 62. 191 ,路 由 器 在 广域网 中 的 IP 地 址 为 
61. 159. 62. 129 , 子 网 掩 码 为 255. 255. 255. 192, 可 用 于 转换 的 IP 地 址 范围 为 61. 159. 62. 130— 
61. 159. 62. 190。 要 求 将 内 部 网 址 172. 16. 100. 1 一 172. 16. 100. 254 动态 转换 为 合法 IP 
地 址 61. 159. 62. 130 一 61. 159. 62. 190. 

第 一 步 , 设 置 外 部 端口 。 

设置 外 部 端口 命令 的 语法 如 下 : 


ip nat outside 
示例 : 


interface serial 0 ! 进 入 品行 端口 serial 0 
ip address 61.159.62.129 255.255.255.248 
! 将 其 IP 地 址 指定 为 61.159.62.129, 子 网 掩 码 为 255.255.255.248 
ip nat outside ! 将 串 行 口 serial 0 设置 为 外 网 端口 .可 以 定义 多 个 外 部 端口 
第 二 步 , 设 置 内 部 端口 。 
设置 内 部 接口 命令 的 语法 如 下 ， 


ip nat inside 
ES 例 EH 


interface ethernet 0 ! 进 入 以 太 网 端口 Ethernet 0 
ip address 172.16.100.1 255.255.255.0 
! 将 其 IP 地 址 指定 为 172.16.100.1, 子 网 掩 码 为 255.255.255.0 
ip nat inside ! 将 Ethernet 0 设置 为 内 网 端口 .可 以 定义 多 个 内 部 端口 
第 三 步 ,定义 合法 IP 地 址 池 。 
定义 合法 IP 地 址 池 命令 的 语法 如 下 : 


ip nat pool 地 址 池 名 称 起 始 TP 地址 终止 IP 地 址 子 网 掩 码 


其 中 ,地 址 池 名 字 可 以 任意 设 定 。 
示例 : 
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ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192 
指明 地 址 缓冲 池 的 名 称 为 net, IP 地 址 范围 为 61. 159. 62. 130 一 61. 159. 62. 190 , 子 网 


掩 码 为 255. 255. 255. 192。 需 要 注意 的 是 ,即使 掩 码 为 255. 255. 255. 0 ,也 会 由 起 始 IP 地 
址 和 终止 IP 地 址 对 IP 地 址 池 进 行 限制 。 


ip nat pool test 61.159.62.130 61.159.62.190 prefix- length 26 


如 果 有 多 个 合法 IP 地 址 范围 ,可 以 分 别 添加 。 例 如 ,如 果 还 有 一 段 合法 IP 地 址 范围 
为 211. 82. 216. 1 一 211. 82. 216. 254 ,那么 ,可 以 再 通过 下 述 命令 将 其 添加 至 缓冲 池 : 


ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0 
或 
ip nat pool test 211.82.216.1 211.82.216.254 prefix- length 24 


第 四 步 ,定义 内 部 网 络 中 允许 访问 Internet 的 访问 列表 。 
定义 内 部 访问 列表 命令 的 语法 如 下 : 


access-listl 标号 permit 源 地 址 通配符 
其 中 ,标号 ?为 1 一 99 之 间 的 整数 。 
access- listl permit 172.16.100.0 0.0.0.255 


允许 访问 Internet 的 网 段 为 172. 16. 100. 0— 172. 16. 100, 255, 主 机 掩 码 为 0. 0. 0. 255. 
需要 注意 的 是 ,这 里 采用 的 是 主机 掩 码 IE Rd MET, THENG 5; d: DLE RA KAW: 
EBLE NS +F ETS = 255. 255. 255. 255。 例 如 , 子 网 掩 码 为 255. 255. 0. 0, 则 主机 掩 码 
为 0.0.255. 255; 子 网 掩 码 为 255. 0. 0.0, 则 主机 掩 码 为 0. 255. 255. 255; 子 网 掩 码 为 
255. 252. 0.0, 则 主机 掩 码 为 0. 3. 255. 255; 子 网 掩 码 为 255. 255. 255. 192, W E ULHET X 
0. 0. 0. 63. 

另外 ,如 果 想 将 多 个 IP 地 址 段 转换 为 合法 IP 地 址 ,可 以 添加 多 个 访问 列表 。 例 如 ， 
当 欲 将 172. 16. 98. 0 一 172. 16. 98. 255 和 172. 16. 99. 0 一 172. 16. 99. 255 转换 为 合法 IP 
地 址 时 ,应 当 添 加 下 述 命令 : 


access- list2 permit 172.16.98.0— 0.0.0.255 
access- list2 permit 172.16.99.0— 0.0.0.255 


第 五 步 ,实现 网 络 地 址 转换 。 

在 全 局 设置 模式 下 ,将 由 access-list 指定 的 内 部 本 地 地 址 与 指定 的 内 部 合法 地 址 池 
进行 地 址 转换 。 命 令 语 法 如 下 : 

ip nat inside source list 访问 列表 标号 pool 内 部 合法 地 址 池 名 字 

示例 : 


ip nat inside source list 1 pool chinanet 
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如 果 有 多 个 内 部 访问 列表 ,可 以 一 一 添加 ,以 实现 网 络 地 址 转换 ,例如 : 


ip nat insde source list 2 pool chinanet 
ip nat insde source list 2 pool chinanet 


如 果 有 多 个 地 址 池 ,也 可 以 一 一 添加 :以 增加 合法 地 址 池 范 围 ,例如 : 


ip nat insde source list 2 pool cernet 
ip nat insde source list 2 pool cernet 
ip nat insde source list 2 pool cernet 


3. 端口 复 用 动态 地 址 转换 (PAT) 


内 部 网 络 使 用 的 IP 地 址 段 为 10. 100. 100. 1 一 10. 100. 100. 254 ,路 由 器 局 域 网 端口 
( 即 默 认 网 关 ) 的 IP 地 址 为 10. 100. 100. 1 , 子 网 掩 码 为 255. 255. 255. 0。 网 络 分 配 的 合法 
IP 地 址 范围 为 202. 130. 100. 0 一 202. 130. 100. 3 ,路 由 器 广域网 中 的 IP 地 址 为 202. 130. 100. 1, 
子 网 掩 码 为 255. 255. 255. 252 ,可 用 于 转换 的 IP 地 址 为 202. 130. 100. 2。 要 求 将 内 部 网 
址 10. 100. 100. 1 一 10. 100. 100. 254 转换 为 合法 IP 地 址 202. 130. 100. 2 。 

第 一 步 , 设 置 外 部 端口 。 

interface serial 0 


ip address 202.130.100.1 255.255.255.252 
in nat outside 


第 二 步 , 设 置 内 部 端口 。 


interface ethernet 0 
ip address 10.100.100.1 255.255.255.0 
ip nat inside 


第 三 步 ,定义 合法 TP 地 址 池 。 
in nat pool onlyone 202.130.100.2 202.130.100.2 netmask 255.255.255.252 


指明 地 址 缓冲 池 的 名 称 为 onlyone,IP 地 址 范围 为 202. 130. 100. 2, 子 网 掩 码 为 
255.255.255.252。 由 于 本 例 只 有 一 个 IP 地 址 可 用 ,所 以 起 始 IP 地 址 与 终止 IP 地 址 均 
为 202. 130. 100.2。 如 果 有 多 个 IP 地 址 , 则 应 当 分 别 输入 起 止 的 TP 地 址 。 

第 四 步 ,定义 内 部 访问 列 。 


access- list 1 permit 10.100.100.0 0.0.0.255 


允许 访问 Internet 的 网 段 为 10. 100, 100. 0 一 10. 100. 100, 255, 子 网 掩 码 为 255. 255. 255. 0。 
需要 注意 的 是 ,在 这 里 , 子 网 掩 码 的 顺序 跟 平 常 所 写 的 顺序 相反 , 即 0.255. 255. 255 。 

第 五 步 , 设 置 复 用 动态 地 址 转换 。 

在 全 局 设置 模式 下 ,在 内 部 本 地 地 址 与 内 部 合法 IP 地 址 间 建 立 复 用 动态 地 址 转换 。 
命令 语法 如 下 : 

ip nat inside source list 访问 列表 号 pool 内 部 合法 地 址 池 名 字 overload 
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ip nat inside source listl pool onlyone overload 


以 端口 复 用 方式 ,将 访问 列表 1 中 的 私有 IP 地 址 转换 为 onlyone IP 地 址 池 中 定义 的 
合法 IP 地 址 。 


3.5.3 网络 地 址 转换 (NAT) 的 配置 实例 


1. 全 部 采用 端口 复 用 地 址 转换 


当 ISP 分 配 的 IP 地 址 数量 很 少 ,网 络 又 没有 其 他 特殊 需求 , 即 无 须 为 Internet 提供 
网 络 服 务 时 ,可 采用 端口 复 用 地 址 转换 方式 ,使 网 络 内 的 计算 机 采用 同一 个 IP 地 址 访问 
Internet, 在 节约 IP 地 址 资源 的 同时 ,又 可 有 效 保护 网 络 内 部 的 计算 机 。 

(1) 网 络 拓扑 环境 (如 图 3-10 所 示 ) 


申请 的 地 址 范围 : 
202.103.100.128-.135/29 


S0: 202.103.100.129/29 


== 
192.168.10.0/24 192.168.30.0/24) 
Web 服 务 器 财务 部 门 其 他 部 门 


图 3-10 NAT 地 址 转换 


局 域 网 采用 100Mbps 光纤 ,以 城 域 网 方式 接 入 Internet。 路 由 器 选用 拥有 2 个 
10/100Mbps 自 适应 端口 的 Cisco 2611。 内 部 网 络 使 用 的 全 地 址 段 为 192. 168. 100. 1 一 192. 168. 
101. 254, 局 域 网 端口 Ethernet 0 的 IP 地 址 为 192. 168. 100. 1, 子 网 掩 码 为 255. 255. 0.0。 网 络 分 
配 的 合法 IP 地 址 范围 为 202. 130. 100. 128 — 202. 130. 100. 131, 连接 ISP 的 端口 
Ethernet 1 的 IP 地 址 为 202. 130. 100. 129, 子 网 掩 码 为 255. 255. 255. 252。 可 用 于 转换 
的 IP 地 址 为 202. 130. 100. 130。 要 求 网 络 内 部 的 所 有 计算 机 均 可 访问 Internet; 

(2) 任务 分 析 

既然 只 有 一 个 可 用 的 合法 IP 地 址 ,处 于 局 域 网 的 服务 器 又 只 为 局 域 网 提供 服务 ,而 
不 允许 Internet 中 的 主机 对 其 访问 ,因此 完全 可 以 采用 端口 复 用 地 址 转换 方式 实现 
NAT, 使 得 网 络 内 的 所 有 计算 机 均 可 独立 访问 Internet。 
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(3) 命令 配置 


interface fastethernet0/0 

ip address 192.168.100.1 255.255.0.0 ! 定 义 本 地 端口 IP BE 

duplex auto 

speed auto 

ip nat inside ! 定 义 为 本 地 端口 

interface fastethernet0/1 

ip address 202.130.100.129 255.255.255.252 

duplex auto 

speed auto 

ip nat outside 

ip nat pool onlyone 202.130.100.130 202.130.100.130 netmadk 255.255.255.252 
! 定 义 合 法 IP 地 址 池 ,名 称 为 onlyone 


access- list 1 permit 192.168.100.0 0.0.0.255 ! 定 义 本 地 访问 列表 
access- list 1 permit 192.168.100.0 0.0.0.255 
ip nat inside source listl pool onlyone overload ! 采 用 端口 复 用 动态 地 址 转换 


2. 动态 地 址 十 端口 复 用 地 址 转换 


许多 FTP 网 站 考虑 到 服务 器 性 能 和 Internet 连接 带宽 的 占用 问题 ,都 限制 同一 个 IP 
地 址 的 多 个 进程 访问 。 如 果 采 用 端口 复 地 址 转换 方式 , 则 网 络 内 的 所 有 计算 机 都 采用 同 
一 个 IP 地 址 访问 Internet, 将 因此 被 禁止 对 该 网 站 的 访问 。 所 以 , 当 提供 的 合法 IP 地 址 
数量 稍 多 时 ,可 同时 采用 端口 复 用 和 动态 地 址 转换 方式 , 既 可 保证 所 有 用 户 都 能 够 获得 访 
la] Internet 的 权利 ,又 不 致 某 些 计算 机 因 使 用 同一 个 IP 地 址 而 被 限制 权限 。 需 要 注意 的 
是 ,由 于 所 有 计算 机 都 采用 动态 地 址 转换 方式 ,因此 Internet 中 的 所 有 计算 机 将 无 法 实现 
对 网 络 内 部 服务 器 的 访问 。 

(1) 网 络 拓扑 环境 

局 域 网 以 2Mbps DNA 专线 接 入 Internet, 路 由 器 选用 安装 了 广域网 模块 的 Cisco 2611, 
如 图 3-10 所 示 (IP 地 址 有 相应 的 变化 )。 内 部 网 络 使 用 的 IP 地 址 段 为 172. 16. 100. 1 一 
172. 16. 102. 254. ,局 域 网 端口 Ethernet 0 的 IP 地 址 为 172. 16. 100. 1, 子 网 掩 码 为 
255. 255. 0.0。 网 络 分 配 的 合法 IP 地 址 范围 为 202. 130. 100. 128 一 202. 130. 100. 129 , 子 
FER 255, 255. 255. 192, 可 用 于 转换 的 IP 地 址 范围 为 202. 130. 100. 130 一 202. 130. 100. 190。 
要 求 网 络 部 分 的 部 分 计算 机 可 以 不 受 任何 限制 地 访问 Internet, 服 务 器 无 须 提供 Internet 
访问 服务 。 

(2) 任务 分 析 

既然 要 求 网 络 中 的 部 分 计算 机 可 以 不 受 任何 限制 地 访问 Internet, 同 时 ,服务 器 无 须 
提供 Internet 访问 服务 ,那么 ,只 需 采 用 动态 地 址 转换 十 端口 复 用 地 址 转换 方式 即 可 实 
现 。 部 分 有 特殊 需求 的 计算 机 采用 动态 地 址 转换 的 NAT 方式 ,其 他 计算 机 则 采用 端口 
复 用 地 址 转换 的 NAT 方式 。 因 此 ,部 分 有 特殊 需求 的 计算 机 可 采用 内 部 网 址 
172. 16. 100. 1 一 172. 16. 100. 254 ,并 动态 转换 为 合法 地 址 202. 130. 100. 130 一 202. 130. 
100. 189 ,其 他 计算 机 采用 内 部 网 址 172. 16. 101. 1 一 172. 16. 102. 254, 全 部 转换 为 202. 
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130. 100. 190, 
(3) 命令 配置 


interface fastethernet0/1 

ip address 10.100.100.1 255.255.255.0 ! 定 义 局 域 网 端口 IP Seb 
duplex auto 

Speed auto 

ip nat inside ! 定 义 为 局 域 端口 

! 


interface serial 0/0 


ip address 202.130.100.129 255.255.255.192 ! 定 义 广域网 端口 IP 地 址 
1 

duplex auto 

speed auto 

ip nat outside ! 定 义 为 广 域 端口 


1 
ip nat pool public 202.130.100.130 202.130.160.190 netmask 255.255.255.192 

! 定 义 合 法 IP 地 址 池 , 名 称 为 public 
ip nat pool super 202.130.100.130 202.130.160.189 netmask 255.255.255.192 

! 定 义 合法 IP 地 址 池 , 名 称 为 super 


ip nat inside source listl pool super ! 定 义 列 表 1 采用 动态 地 址 转换 

ip nat inside source list2 pool public overload? ! 定 义 列表 2 采用 端口 复 用 地 址 转换 
access- listl permit 172.16.100.0 0.0.0.255 ! 定 义 本 地 访问 列表 1 

access- list2 permit 172.16.102.0 0.0.0.255 ! 定 义 本 地 访问 列表 2 


access- list2 permit 172.16.102.0 0.0.0.255 


3. 静态 地 址 转换 十 端口 复 用 地 址 转换 


其 实在 很 多 时 候 , 网 络 中 的 服务 器 既 为 网 络 内 部 的 客户 提供 网 络 服务 ,又 同时 为 
Internet 中 的 用 户 提供 访问 服务 。 因 此 ,如 果 采 用 端口 复 用 地 址 转换 或 动态 地 址 转换 ,将 
由 于 无 法 确定 服务 器 的 IP 地 址 ,而 导致 Internet 用 户 无 法 实现 对 网 络 内 部 服务 器 的 访 
问 。 此 时 ,应 当 采 用 静态 地 址 转换 十 端口 复 用 地 址 转换 的 NAT 方式 。 也 就 是 说 ,对 服务 
器 采用 静态 地 址 转换 ,以 确保 服务 器 拥有 固定 的 合法 IP 地 址 ;对 普通 的 客户 计算 机 采用 
端口 复 用 地 址 转换 ,使 所 有 用 户 都 享有 访问 Internet 的 权利 。 

(1) 网 络 拓扑 环境 

局 域 网 采用 10Mbps 光纤 ,以 城 域 网 方式 接 入 Internet, 如 图 3-9 所 示 (IP 地 址 有 相应 
的 变化 ) 。 路 由 器 选用 拥有 2 个 10/100Mbps 自 适应 端口 的 Cisco 2611。 内 部 网 络 使 用 
AY IP 地 址 段 为 10. 18. 100. 1 — 10. 18. 104. 254, 局域网 端口 Ethernet 0 的 IP 地 址 为 
10. 18. 100. 1, 子 网 掩 码 为 255. 255. 0.0。 网 络 分 配 的 合法 IP 地 址 范围 为 211. 82. 220. 80— 
211. 82. 220. 87, 连 接 ISP 的 端口 Ethernet 1 AY IP 地 址 为 211. 82. 220. 81, 子 网 掩 码 为 
255. 255. 255. 248 。 要 求 网 络 内 部 的 所 有 计算 机 均 可 访问 Internet, 并 且 在 Internet 中 提 
fit Web, E-mail, FTP 和 Media 4 种 服务 。 

(2) 任务 分 析 

既然 网 络 内 的 服务 器 要 求 能 够 被 Internet 访问 到 ,那么 ,这 部 分 主机 必须 拥有 合法 的 
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IP 地 址 ,也 就 是 说 ,服务 器 必须 采用 静态 地 址 转换 。 其 他 计算 机 由 于 没 


有 任何 限制 ,所 以 


可 采用 端口 复 用 地 址 转换 的 NAT 方式 。 因 此 ,服务 器 可 采用 内 部 网 址 10. 18. 100. 1 一 
10. 18. 100. 254, 并 分 别 映射 为 一 个 合法 的 IP 地 址 。 其 他 计算 机 则 采用 内 部 网 址 


10. 18. 101. 1 一 172. 16. 104. 254 ,并 全 部 转换 为 一 个 合法 的 IP 地 址 。 
(3) 命令 配置 


interface fastethernet0/0 


ip address 10.18.100.1 255.255.0.0 ! 定 义 局 域 网 口 IP RE 
duplex auto 

speed auto 

ip nat inside ! 定 义 局 域 网 口 
interface fastethernet0/1 

ip address 211.82.220.81 255.255.255.248 ! 定 义 广 域 网 口 IP 地 址 
duplex auto 

Speed auto 

ip nat outside ! 定 义 广 域 网 口 

ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 
access- list 1 permit 10.18.101.0 0.0.0.255 ! 定 义 本 地 访问 列表 1 


access-list 1 premit 10.18.102.0 0.0.0.255 
access-list 1 premit 10.18.103.0 0.0.0.255 
access-list 1 premit 10.18.104.0 0.0.0.255 


ip nat inside source listl pool every overload ! 定 义 列表 1 采用 端口 复 用 地 址 转换 
ip nat inside source static 10.18.100.10 211.82.220.82 ! 定 义 静态 地 址 转换 
ip nat inside source static 10.18.100.11 211.82.220.83 


ip nat inside source static 10.18.100.12 211.82.220.84 
ip nat inside source static 10.18.100.13 211.82.220.85 


规律 总 结 (检查 ) 


路 由 是 把 信息 从 源 通过 网 络 传递 到 目的 地 的 行为 ,在 路 上 ,至 少 遇 到 一 个 中 间 节 点 。 
路 由 通常 与 桥接 来 对 比 ,在 粗心 的 人 看 来 ,它们 完成 的 是 同样 的 事 。 其 主要 区 别 在 于 桥接 
REE OSI 参考 模型 的 第 二 层 ( 数 据 链 路 层 ) ,路 由 发 生 在 第 三 层 (网 络 层 ) 。 这 一 区 别 使 


二 者 在 传递 信息 的 过 程 中 使 用 不 同 的 信息 ,以 不 同 的 方式 完成 任务 。 
1. 路 由 器 工作 任务 描述 


路 由 器 最 根本 的 任务 就 是 数据 转发 。 换 言 之 ,路 由 器 所 做 的 工作 就 是 两 大 项 : 转发 


什么 和 怎样 转发 的 问题 。 
路 由 器 转发 的 对 象 是 那些 按照 某 种 "被 路 由 协议 ”组织 的 .可 寻 址 的 


数据 包 。 


路 由 器 转发 的 依据 是 “路 由 表 ”, 从 路 由 表 中 查找 数据 包 的 转发 路 径 。 路 由 表 是 按照 


“路 由 选择 协议 ”建立 和 维护 的 。 
2. 路 由 器 主要 协议 配置 常用 命令 
路 由 器 主要 协议 配置 常用 命令 及 功能 如 表 3-1 所 示 。 
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表 3-1 路 由 器 主要 协议 配置 常用 命令 及 功能 


项 H fo S Xj 能 
ip iue network pape ip-eddress | interface- 配置 静态 路 由 
静态 路 由 配置 type interface- number}[ distace |[ permanent] 
no ip route network mask 删除 静态 路 由 
Router rip 创建 RIP 路 由 进程 
动态 路 由 配置 一 RIP 
Network network-number 定义 关联 网 络 
Router ospf process-id 创建 OSPF 路 由 进程 
动态 路 由 配置 一 OSPF 
Network network wildcard area area-id 定义 接口 所 属 区 域 


Ppp pap sent-username username 


指定 PPP PAP 验证 的 用 户 名 
和 密码 


PAP 被 验证 方 password password 
no ppp pap sent-username 取消 PPP PAP 验证 的 设 定 
ppp authentication pap 设 定 PPP PAP 验证 方 
PAP 验证 方 
username username password password 创建 用 户 数据 库 记 录 
ppp chap hostname hostname 指定 PPP CHAP 验证 主机 名 
CHAP 被 验证 方 
ppp chap password password 指定 PPP CHAP 验证 的 密码 
ppp authentication chap 启动 PPP CHAP 验证 方式 
CHAP 验证 方 username username password password 创建 用 户 数据 库 记 录 


no ppp authentication chap 


3. 网 络 地 址 转换 


路 由 器 的 网 络 地 址 转换 功能 很 好 地 为 当前 私有 网 络 解决 了 地 址 不 足 的 问题 ,成 为 当 
前 私有 网 络 接 和 人 Internet 的 主要 手段 ,其 转换 功能 主要 体现 在 以 下 三 个 方面 : 

CD. 静态 网 络 地 址 转换 将 单个 内 部 私有 地 址 映射 为 单个 公有 地 址 ; 

© 动态 网 络 地 址 转换 使 用 可 用 的 公有 地 址 池 , 并 将 它们 分 配给 内 部 私有 地 址 ; 

O 端口 多 路 复 用 将 多 个 内 部 私有 地 址 转换 为 单个 公有 地 址 。 


拓展 提高 (拓展 ) 


取消 CHAP 验证 方式 


1. 有 类 寻 址 与 无 类 寻 址 


1981 年 以 前 ,IP 地 址 仅 使 用 前 8 位 来 指定 地 址 中 的 网 络 部 分 ,因而 Internet( 那 时 称 
为 ARPANET) 的 范围 仅 限于 256 个 网 络 。 很 快 , 地 址 空间 便 不 能 满足 人 们 的 需求 。 

到 1981 年 ,RFC791 修改 了 IPv4 的 32 位 地 址 ,将 网 络 分 为 三 种 不 同 的 类 别 : A 类 、B 
类 和 C 类 ,每 种 类 别 的 规模 各 不 相同 。A 类 地 址 的 网 络 部 分 使 用 8 位 ,B 类 地 址 的 网 络 部 
分 使 用 16 位 ,C 类 地 址 的 网 络 部 分 使 用 24 位 。 此 格式 就 是 人 们 所 熟知 的 有 类 IP 寻 址 。 

最 初 发 展 形成 的 有 类 寻 址 方式 在 一 段 时 间 内 解决 了 256 个 网 络 的 限制 问题 。 而 十 
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年 之 后 ,IP 地 址 空间 再 度 面临 快速 耗 尽 的 危险 ,而 且 形势 越 来 越 严峻 。 为 此 ,IETF 
(Internet 工程 工作 小 组 ) 引 入 了 CIDR( 无 类 域 间 路 由 ) 技 术 , 使 用 VLSM( 可 变 长 子 网 掩 
码 ) 来 节省 地 址 空间 。 
通过 使 用 CIDR 和 VLSM, ISP 可 以 将 一 个 有 类 网 络 划分 为 不 同 的 部 分 ,从 而 分 配给 
不 同 的 客户 使 用 。 随 着 ISP 开始 采用 不 连续 编 址 方式 ,无 类 路 由 协议 随 之 产生 。 比 较 而 
言 , 有 类 路 由 协议 总 是 在 有 类 网 络 边界 处 总 结 , 且 其 路 由 更 新 中 不 包含 子 网 掩 码 信息 。 无 
类 路 由 协议 则 在 路 由 更 新 中 包含 子 网 掩 码 信息 ,并 且 不 需要 执行 子 网 总 结 。 
有 类 路 由 协议 包括 RIPvl ;无 类 路 由 协议 包括 RIPv2,EIGRP 和 OSPF. 


2. Cisco 路 由 器 的 接口 类 型 


Cisco 路 由 器 就 像 计 算 机 一 样 ,有 自己 的 CPU 和 RAM; 还 有 的 路 由 器 是 “模块 化 
的 ”, 就 像 计算 机 上 的 插 模 一样 , 想 实 现 什么 功能 ,将 相应 的 模块 插 到 插 槽 即 可 。 现 在 有 两 
种 接口 的 路 由 器 : 固定 模块 的 路 由 器 和 模块 化 的 路 由 器 。 

CD 固定 模块 的 路 由 器 : 这 种 路 由 器 没有 扩展 插 槽 。 买 来 的 设备 带 什 么 接口 ,就 是 什 
么 接口 ,不 能 添加 新 的 模块 。Cisco 2500 系列 以 下 (包括 2500 系列 ) 的 路 由 器 ,例如 1600/ 
1700 系列 .700/800 系列 ,都 是 固定 模块 的 路 由 器 。 

@ 模块 化 的 路 由 器 : 这 种 路 由 器 配 有 可 扩展 插 槽 , 想 要 实现 什么 功能 ,将 相应 的 模 
Sethi AA REB RI. Cisco 2600 系列 以 上 (包括 2600 系列 ) 的 路 由 器 ,例如 2600 系列 .3600 
系列 ,都 是 模块 化 的 路 由 器 。 另 外 ,对 于 模块 化 的 路 由 器 来 讲 , 有 些 模块 可 能 比 路 由 器 本 
身 还 要 贵 。 

3. Cisco 路 由 器 接口 的 表示 法 

对 于 模块 化 和 非 模块 化 的 路 由 器 ,其 接口 表示 方法 是 不 同 的 。 

(1) 固定 模块 的 接口 


固定 模块 的 接口 可 以 “接口 名 称 十 接口 编号 ?的 模式 来 表示 ,比如 对 于 某 台 路 由 器 的 
一 个 串口 ,可 以 用 Serial 1 来 表示 。 注 意 ,第 一 个 接口 的 起 始 编号 是 从 0 开始 的 ,也 就 是 


以 此 类 推 。 以 下 是 常用 接口 的 名 称 : 

。 串口 Serial 

。 以 太 口 : Ethernet 

* ISDN BRI 接口 : BRI 

。 管理 控制 台 接口 Console 

(2) 模块 化 的 接口 

模块 化 接口 的 表示 法 是 “接口 名 称 十 接口 所 在 的 扩展 槽 号 码 / 接 口号 码 ”。 比 如 ,对 于 
某 台 路 由 器 的 一 个 扩展 槽 的 第 一 个 串口 ,用 Serial 0/0 表示 。 注 意 ,扩展 槽 编号 也 是 从 0 
开始 的 。 同 理 , 对 于 路 由 器 第 二 个 扩展 槽 的 第 二 个 以 太 口 ,可 以 表示 成 Ethernet 1/1. 

另外 ,接口 的 名 称 可 以 简写 ,串口 可 以 简写 为 S, 以 太 口 可 以 简写 为 下 ,但 有 些 是 不 能 
简写 的 。 
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4. 路 由 器 与 三 层 网 络 设备 


路 由 器 的 主要 用 途 是 连接 多 个 网 络 , 并 将 数据 包 转 发 到 自身 的 网 络 或 其 他 网 络 。 由 
于 路 由 器 的 主要 转发 决定 是 根据 第 三 层 IP 数据 包 ( 即 根据 目的 IP 地 址 ) 做 出 的 ,因此 路 
由 器 被 视 为 第 三 层 设备 。 作 出 决定 的 过 程 称 为 路 由 。 

每 个 路 由 器 在 收 到 数据 包 后 ,都 会 搜索 自身 的 路 由 表 , 寻 找 数据 包 目 的 TP 地 址 与 路 
由 表 中 网 络 地 址 的 最 佳 匹 配 。 如 果 找 到 匹配 项 ,就 将 数据 包 封 装 到 对 应 外 发 接口 的 第 二 
层 数 据 链 路 帧 中 。 数 据 链 路 封装 的 类 型 取决 于 接口 的 类 型 ,如 以 太 网 接口 或 HDLC 接 
口 。 最 后 ,数据 包 到 达 与 目的 TP 地 址 相 匹 配 的 网 络 中 的 路 由 器 。 

路 由 器 在 第 三 层 做 出 主要 转发 决定 ,但 正如 我 们 前 面 所 分 析 的 , 它 也 参与 第 一 层 和 第 
二 层 的 过 程 。 路 由 器 检查 完 数据 包 的 IP 地 址 ,并 通过 查询 路 由 表 做 出 转发 决定 后 ,将 该 
数据 包 从 相应 接口 朝 着 目的 地 转发 出 去 。 路 由 器 会 将 第 三 层 IP 数据 包 封装 到 对 应 送出 
接口 的 第 三 层 数 据 链 路 帧 的 数据 部 分 。 帧 的 类 型 可 以 是 以 太 网 .HDLC 或 其 他 第 二 层 封 
装 , 即 对 应 特定 接口 上 所 使 用 的 封装 类 型 。 第 二 层 帧 会 编码 成 第 一 层 物理 信号 ,这 些 信 号 
用 于 表示 物理 链 路 上 传输 的 位 。 路 由 器 转发 数据 包 流 程 如 图 3-11 所 示 。 


PCI PC2 
应 用 层 应 用 层 
表示 层 表示 层 
会 话 层 会 话 层 
传输 层 传输 层 


网 络 层 网 络 层 
数据 链 路 层 | ||) 数据 链 路 层 路 数据 链 路 层 To EGEREK J| 数据 链 路 层 
物理 层 物理 层 物理 层 物理 层 物理 层 


图 3-11 路 由 器 转发 数据 包 流程 


(1) 路 由 与 桥接 

路 由 相对 于 二 层 的 桥接 /交换 是 高 层 的 概念 ,不 涉及 网 络 的 物理 细节 。 在 可 路 由 的 网 
络 中 ,每 台 主 机 都 有 同样 的 网 络 层 地 址 格式 (如 IP 地 址 ) ,而 无 论 它 是 运行 在 以 太 网 、 令 牌 
环 网 .FDDI 网 还 是 广域网 。 网 络 层 地 址 通常 由 两 部 分 构成 : 网 络 地 址 和 主机 地 址 。 

网 桥 只 能 连接 数据 链 路 层 相 同 (或 类 似 ) 的 网 络 , 路 由 器 则 不 同 , 它 可 以 连接 任意 两 种 
网 络 , 只 要 主机 使 用 的 是 相同 的 网 络 层 协议 。 

(2) 连接 网 络 层 与 数据 链 路 层 

网 络 层 下 面 是 数据 链 路 层 , 为 了 它们 可 以 互通 ,需要 “黏合 "协议 。ARP( 地 址 解析 协 
议 ) 用 于 把 网 络 层 (三 层 ) 地 址 映射 到 数据 链 路 层 (二 层 ) 地 址 ,RARP( 反 向 地 址 解析 协议 ) 
则 反之 。 

虽然 ARP 的 定义 与 网 络 层 协议 无 关 , 但 它 通 常用 于 解析 IP 地 址 。 最 常见 的 是 在 数 
据 链 路 层 相同 或 类 似 的 网 络 中 应 用 ,例如 以 太 网 ,因此 下 面 有 关 ARP 和 RARP 的 例子 是 
基于 IP 和 以 太 网 提出 的 ,这 些 概念 对 其 他 协议 也 是 一 样 的 。 
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路 由 是 路 由 器 最 基本 的 功能 。 在 HOS 软件 系统 中 ,我 们 采用 控制 与 转发 分 离 的 技 
术 。 路 由 协议 作为 控制 信 令 的 协议 ,负责 计算 路 由 ,转发 引擎 按照 路 由 协议 给 出 的 路 由 来 
进行 转发 操作 。 

5. IP 地 址 短缺 问题 


所 谓 IP 地 址 ,就 是 给 每 一 台 连 接 在 Internet 上 的 主机 分 配 一 个 唯一 的 32 位 地 址 。 
IP 地 址 是 由 Internet Assigned Numbers Authority(IANA) 组 织 统一 分 配 的 ,以 保证 在 
Internet 上 没有 重复 的 IP 地 址 。 

IP 地 址 由 网 络 号 码 和 主机 号 码 两 部 分 组 成 。 为 了 便于 对 IP 地 址 进行 管理 ,同时 考 
虑 到 网 络 的 差异 很 大 ,有 的 网 络 拥有 很 多 台 主 机 ,有 的 网 络 上 的 主机 很 少 ,因此 ,Internet 
的 IP 地 址 分 成 为 五 类 , 即 A~E 类 ,其 中 能 被 使 用 的 是 A,B,C 三 类 。 

A IP 地 址 的 网 络 号 码 数 不 多 ,目前 几乎 没有 多 余 的 可 供 分 配 ,现在 能 够 申请 到 的 
IP 地 址 只 有 B 类 和 C 类 两 种 。 当 某 个 单位 申请 到 IP 地 址 时 ,实际 上 只 是 拿 到 了 一 个 网 
络 号 码 net-id。 各 个 主机 号 码 host-id 由 该 单位 自行 分 配 , 只 要 做 到 在 该 单位 管辖 的 范围 
内 无 重复 的 主机 号 码 即 可 。 

由 于 当初 没有 预计 到 计算 机 会 普及 得 如 此 之 快 ,各 种 局 域 网 和 局 域 网 上 的 主机 数目 
急剧 增长 ;另外 ,由 于 申请 TP 地 址 的 时 候 申请 的 是 “网 络 号 码 ”, 在 使 用 时 也 有 很 大 的 浪 
费 。 例 如 , 某 个 单位 申请 到 了 一 个 B 类 地 址 ,但 该 单位 只 有 1 万 台 主 机 ,于 是 在 一 个 B 类 
地 址 中 的 其 余 5 万 5 千 多 个 主机 号 码 就 白白 浪费 了 ,因为 其 他 单位 的 主机 无 法 使 用 这 些 
号 码 。 地 址 转换 技术 就 是 解决 地 址 短缺 问题 的 主要 技术 手段 。 


6. 公有 地 址 和 私有 地 址 


Internet 是 连接 了 许多 局 域 网 的 网 络 , 它 可 以 连接 各 种 不 同类 型 的 局 域 网 。 局 域 网 
的 类 型 很 多 ,本 书 讨论 的 都 是 使 用 TCP/IP 协议 连接 的 局 域 网 ,如 果 局 域 网 采用 TCP/IP 
协议 连接 ,网 中 的 每 台 机 器 都 必须 拥有 一 个 IP 地 址 。 为 了 使 局 域 网 的 IP 地 址 可 以 被 局 
域 网 自己 规划 ,IANA 组 织 在 A,B,C 类 IP 地 址 中 各 选 出 一 个 网 段 作为 “私有 地 址 ”， 供 
各 个 局 域 网 按照 需要 自由 分 配 。 

私有 地 址 是 指 内 部 网 络 (局 域 网 内 部 ) 的 主机 地 址 ,而 公有 地 址 是 局 域 网 的 外 部 地 址 (在 
Internet 上 的 全 球 唯一 的 IP 地 址 )。IANA 规定 以 下 三 个 网 络 地 址 保留 用 作 私有 地 址 : 


10.0.0:0--10.255.255.255 

172.16.0.0— 172.31.255.255 

192.168.0.0— 192.168.255.255 
也 就 是 说 ,这 三 个 网 络 的 地 址 不 会 在 Internet 上 被 分 配 ,但 可 以 在 一 个 企业 (局 域 网 ) 内 部 
使 用 ,各 个 企业 根据 可 预见 的 主机 数量 的 多 少 ,来 选择 合适 的 网 络 地 址 。 不 同 企业 的 内 部 
网 络 地 址 可 以 相同 。 如 果 一 个 公司 选择 其 他 网 段 作为 内 部 网 络 地 址 ,有 可 能 引起 路 由 表 
混乱 。 

很 明显 ,私有 地 址 是 不 会 在 Internet 上 看 见 的 。 在 Internet 上 可 见 的 IP 地 址 称 为 公 
有 地 址 ,使 用 私有 地 址 转换 的 主机 是 不 能 直接 访问 Internet 的 ;同样 地 ,在 Internet 上 不 
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可 能 访问 到 使 用 私有 地 址 的 主机 。 
7. 地 址 转换 的 优点 和 缺点 


使 用 地 址 转换 技术 主要 有 以 下 几 个 优点 : 

CD 地 址 转换 可 以 使 内 部 网 络 用 户 方便 地 访问 Internet, 

@ 地 址 转换 可 以 使 内 部 局 域 网 的 许多 主机 共享 一 个 IP 地 址 上 网 ,大 大 节约 了 合法 
AY IP 地址 。 

®© 地 址 转换 可 以 屏蔽 内 部 网 络 用 户 ,提高 内 部 网 络 的 安全 性 。 

@ 地 址 转换 同样 可 以 提供 给 外 部 网 络 WWW,FTP,Telnet 等 服务 。 

C) 地 址 转换 技术 可 以 使 内 部 局 域 网 的 IP 地 址 分 配 容易 维护 ,不 会 因为 合法 地 址 转 
换 的 缺乏 而 不 容易 合理 分 配 内 部 局 域 网 的 IP 地 址 ,并 且 当 外 部 有 变化 的 时 候 , 不 需要 改 
动 内 部 局 域 网 内 部 的 配置 。 

地 址 转换 技术 主要 有 以 下 几 个 缺点 : 

CD 地 址 转换 对 于 报 文 内 容 中 含有 有 用 的 地 址 信息 的 情况 需要 做 特殊 处 理 , 这 种 情况 
的 代表 协议 是 FTP。 

@ 地 址 转换 不 能 处 理 TP 报头 加 密 的 情况 。 

@ 地 址 转换 由 于 隐藏 了 内 部 主机 地 址 ,有 时 会 使 网 络 调试 变 得 复杂 。 


8. TCP/UDP 端口 NAT 映射 


如 果 ISP 提供 的 合法 TP 地 址 的 数量 较 多 ,自然 可 以 采用 静态 地 址 转换 十 端口 复 用 动 
态 地 址 转换 的 方式 得 以 完美 实现 内 外 地 址 的 转换 。 但 如 果 ISP 只 提供 4 个 IP 地 址 ,其 中 
2 个 作为 网 络 号 和 广播 地 址 而 不 可 使 用 ,1 个 IP 地 址 要 用 于 路 由 器 定义 默认 网 关 , 那么 
RRIF 1 个 IP 地址 可 用 。 当 然 , 也 可 以 利用 仅 存 的 这 个 IP 地 址 采用 端口 复 用 地 址 转换 
技术 ,实现 整个 局 域 网 的 Internet 接 人 。 但 是 由 于 服务 器 也 采用 动态 端口 ,因此 ,Internet 
中 的 计算 机 将 无 法 访问 到 网 络 内 部 的 服务 器 。 有 没有 好 的 解决 方案 呢 ? 这 就 是 TCP/ 
UDP 端口 NAT 映射 。 

我 们 知道 ,不同 应 用 程序 使 用 的 TCP/UDP 端口 是 不 同 的 ,比如 ,Web 服务 使 用 50. 
FTP 服务 使 用 21,SMTP 服务 使 用 25,POP3 服务 使 用 110。 因 此 ,可 以 将 不 同 的 TCP 端 
口 绑 定 至 不 同 的 内 部 IP 地 址 ,从 而 只 使 用 一 个 合法 的 TP 地 址 , 即 可 在 允许 内 部 所 有 服务 
av Internet 访问 的 同时 ,实现 内 部 所 有 主机 对 Internet 的 访问 。 


9. 利用 地 址 转换 实现 负载 均衡 


随 着 访问 量 的 上 升 , 当 一 台 服务 器 难以 胜任 时 ,必须 采用 负载 均衡 技术 ,将 大 量 的 访 
问 合理 地 分 配 至 多 台 服 务 器 。 实 现 负载 均衡 的 手段 有 许多 种 , 比如 采用 服务 器 群集 负载 
均衡 .交换 机 负载 均衡 .DNS 解析 负载 均衡 等 ;也 可 以 通过 地 址 转换 方式 实现 服务 器 的 负 
载 均 衡 。 事 实 上 ,这 些 负 载 均衡 的 实现 大 多 采用 轮 询 方式 实现 ,使 每 台 服 务 器 都 拥有 平等 
的 被 访问 机 会 。 
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思考 训练 (评估 ) 
1. 思考 与 提高 


(1) 路 由 的 基本 原理 是 什么 ? 

(2) IP 地 址 中 的 私有 地 址 是 什么 ? 

(3) NAT 的 作用 是 什么 ? 

(4) 在 NAT 中 有 哪 4 种 地 址 ? 

(5) 最 常用 的 网 络 地 址 转换 模式 有 哪 几 种 ? 


2. Scil 


CD. 掌握 相应 计算 机 和 路 由 器 的 连接 ,启动 路 由 器 、 初 始 化 路 由 器 .登录 路 由 器 的 基 
本 操作 ,熟悉 各 种 编辑 命令 和 帮助 命令 的 使 用 。 

(2) 配置 静态 路 由 协议 。 

有 两 台 路 由 器 Route A 和 Route B, Route A 的 S0 口 与 Route BAY SI DHX. W 
两 个 端口 分 别 配 置 IP 地 址 。 同 时 ,Route A 还 连接 了 一 个 172. 16. 1.0 网 络 , Route B 上 
连接 了 一 个 192. 167. 1. 0 网 络 ,在 路 由 器 上 分 别 配置 网 络 。 请 配置 静态 路 由 ,使 网 络 间 能 
够 通信 。 

(3) 配置 OSPF 协议 。 网 络 拓扑 结构 如 图 3-12 所 示 。 注 意 , 路 由 器 之 间 采 用 串 行 电 
线 连 接 , 请 根据 图 示 结 构 构 建 OSPF 路 由 协议 。 


Gah 10.0.0.2/30 
192.168.2.2/30 wi 
S0/0/0 S0/0/1 


192.168.2.1/30 


10.0.0.1/30 
S0/0/1 


192.168.1.2/30 ga 


图 3-12 OSPF 协议 配置 的 网 络 拓扑 结构 


(4) 某 公司 的 网 络 由 两 台 路 由 器 RTA 和 RTC 组成。 路 由 器 RTA 是 连接 ISP 的 边 
界 路 由 器 ,ISP 只 分 配 了 一 个 子 网 192. 168. 1. 32/27 给 该 公司 的 网 络 。 因 为 这 个 子 网 只 
允许 有 30 台 主 机 ,所 以 该 公司 决定 在 网 络 内 部 运行 NAT ,使 公司 内 部 的 几 百 台 主 机 共享 
这 30 个 全 局 地 址 。 除 了 配置 NAT 复 用 以 外 ,公司 还 要 求实 施 TCP 负载 均衡 ,使 外 部 来 
的 Web 请 求 被 均衡 在 两 台 不 同 的 内 部 Web 服务 器 上 。 公 司 内 部 的 网 络 IP 地 址 分 配 为 
10. 0. 0. 0/8 网 段 。 
NAT 网 络 拓扑 结构 如 图 3-13 所 示 ,按照 拓扑 图 组 建 网 络 。 根 据 拓 扑 结构 的 要 求 ,给 
路 由 器 各 端口 配置 IP 地 址 、 子 网 掩 码 、 时 钟 (DCE 端 ) .并 将 各 端口 启动 ,还 要 配置 主机 
A 和 主机 B AY IP 地址 、 子 网 掩 码 、 网 关 等 信息 。 上 述 信 息 配 置 完 毕 后 ,用 ping 命令 测试 
直接 相连 的 设备 之 间 是 否 能 够 通信 。 配 置 RTA 作为 一 台 NAT 服务 器 ,RTA 将 把 该 公 
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司 的 内 部 地 址 (10. 0. 0. 0/8) 转 换 为 ISP 所 分 配 的 地 址 (192. 168. 1. 32/27). 


Internet 主 机 B: 
192.168.3.2/24 


1a0/0: 192.168.3.1/24 


50/0: 192.168.1/30 


i fa0/0: 10.0.1/8 | 
NNAT 路 由 器 


| oss / 


lo 主机 A:10.0.0.1.1/8 2777 


图 3-13 NAT 网 络 拓扑 结构 
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任务 情境 (资讯 ) 


ThreeFour Software 公司 在 网 络 中 应 用 了 STP 协议 之 后 , 既 解 决 了 交换 机 之 间 的 环 
路 ,又 提供 了 元 余 备份 的 链 路 ,网 络 可 靠 性 得 到 了 很 大 改善 。 现 在 网 络 面临 安全 问题 。 为 
了 防止 非法 用 户 使 用 公司 的 局 域 网 资源 , 李 四 希 望 能 对 所 有 接 入 到 公司 以 太 网 交换 机 的 
用 户 都 进行 验证 , 验 明 其 合法 身份 后 再 使 用 网 络 资源 。 

随 着 网 络 复杂 程度 的 增加 ,出 于 安全 方面 的 考虑 , 李 四 希 望 能 够 在 公司 网 络 中 实现 一 
定 的 访问 控制 ,比如 将 研发 部 和 市 场 部 的 网 络 隔离 开 , 分 支 机 构 的 网 络 只 能 访问 总 部 的 某 
些 特定 服务 。 要 实现 上 述 功能 ,需要 用 到 防火 墙 技术 。 

公司 有 防火 墙 ,在 机 房 对 防火 墙 进行 初始 配置 后 ,可 以 通过 Web 方式 对 防火 墙 进行 
远程 配置 和 管理 。 公 司 在 全 国 各 地 都 有 办 事 机 构 ,需要 访问 公司 内 部 的 服务 器 资源 ,而 这 
些 服务 器 资源 出 于 安全 性 考虑 不 直接 在 公 网 上 开放 ,因此 必须 通过 建立 VPN 隧道 ,再 获 
得 访问 内 部 资源 的 权利 。 


任务 分 析 ( 决 策 ) 


在 上 述 情境 中 ,我 们 会 遇 到 5 个 核心 问题 , 即 网 络 安全 设备 ,802. 1 认证 .ACL 访问 
控制 列表 、 防 火 墙 和 虚拟 专用 网 络 (VPN) 。 为 了 完成 以 上 任务 , 先 介绍 以 下 理论 。 


1. 网 络 安全 


网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶 
意 的 原因 而 遭受 到 破坏 .更 改 . 泄 漏 ,系统 可 以 连续 .可靠 .正常 地 运行 ,网 络 服务 不 中 断 。 
网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信息 的 
保密 性 、 完 整 性 .可 用 性 真实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 
网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 ,信息 安全 技术 、 应 用 数 
学 ,数论 .信息论 等 多 种 学 科 的 综合 性 学 科 。 

网 络 安全 的 具体 含义 会 随 着 “角度 "的 变化 而 变化 。 比 如 ,从 用 户 ( 个 人 、 企 业 等 ) 的 角 
度 来 说 ,他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 传输 时 受到 机 密 性 、 完 整 性 和 
真实 性 的 保护 ,避免 其 他 人 或 对 手 利用 窃听 、 冒 充 、 算 改 , 抵 赖 等 手段 侵犯 用 户 的 利益 和 
隐私 。 


2. 802. 1 认证 


802. 1x 协 议 起 源 于 802. 11 协 议 , 后 者 是 IEEE 的 无 线 局 域 网 协议 ,制定 802. 1x 协 
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议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 人 认证 问题 。IEEE 802 LAN 协议 定义 的 局 域 
网 并 不 提供 接 入 认证 ,只 要 用 户 能 接 入 局 域 网 控制 设备 (如 LAN Switch) ,就 可 以 访问 局 
域 网 中 的 设备 或 资源 。 这 在 早期 企业 网 有 线 LAN 应 用 环境 下 并 不 存在 明显 的 安全 隐 
患 。 但 是 随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ,服务 提供 者 需要 对 用 户 的 接 
人 进行 控制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 人 在 电信 网 上 大 规模 开展 ,有 必要 
对 端口 加 以 控制 ,以 实现 用 户 级 的 接 人 控制 。802. 1x 就 是 IEEE 为 了 解决 基于 端口 的 接 
入 控制 (Port-Based Network Access Control) 而 定义 的 一 个 标准 。 

IEEE 802. 1x 是 根据 用 户 ID 或 设备 ,对 网 络 客户 端 (或 端口 ) 进 行 鉴 权 的 标准 。 该 流 
程 称 为 “端口 级 别 的 鉴 权 ”。 它 采用 RADIUS( 远 程 认证 拨号 用 户 服务 ) 方 法 ,并 将 其 划分 
为 三 个 不 同 的 小 组 : 请 求 方 .认证 方 和 授权 服务 器 o 

820. 1x 标准 应 用 于 试图 连接 到 端口 或 其 他 设备 (如 Cisco Catalyst 交换 机 或 Cisco 
Aironet 系列 接 人 点 )( 认 证 方 ) 的 终端 设备 和 用 户 ( 请 求 方 )。 认 证 和 授权 都 通过 鉴 权 服 
务 器 (如 Cisco Secure ACS) 后 端 通信 实现 。IEEE 802. 1x 提供 自动 用 户 身 份 识 别 , 集 中 
进行 鉴 权 、 密 钥 管理 和 LAN 连接 配置 。 整个 802. 1x 的 实现 涉及 设计 三 个 部 分 , 即 请 求 者 
系统 .认证 系统 和 认证 服务 器 系统 。 


3. ACL 访问 控制 列表 


访问 控制 列表 (ACL,Access Control List) 是 路 由 器 和 交换 机 接口 的 指令 列表 ,用 来 
控制 端口 进出 的 数据 包 。ACL 适用 于 所 有 的 路 由 协议 ,如 IP,IPX,AppleTalk 等 。 这 张 
表 中 包含 了 匹配 关系 、 条 件 和 查询 语句 , 表 只 是 一 个 框架 结构 ,其 目的 是 为 了 对 某 种 访问 
进行 控制 。 

信息 点 间 通 信 及 内 、 外 网 络 的 通信 都 是 企业 网 络 中 必 不 可 少 的 业务 需求 ,但 是 为 了 保 
证 内 网 的 安全 性 ,需要 通过 安全 策略 来 保障 非 授权 用 户 只 能 访问 特定 的 网 络 资源 ,达到 对 
访问 进行 控制 的 目的 。 简 而 言 之 ,ACL 是 过 滤 网 络 中 的 流量 ,控制 访问 的 一 种 网 络 技术 
TE. 

ACL 的 定义 也 是 基于 每 一 种 协议 的 。 如 果 路 由 器 接口 配置 成 为 支持 三 种 协议 (IP， 
AppleTalk 以 及 IPX) 的 情况 ,那么 ,用 户 必须 定义 三 种 ACL 来 分 别 控制 这 三 种 协议 的 数 
据 包 。 


4. ACL 的 作用 


ACL 可 以 限制 网 络 流量 ,提高 网 络 性 能 。 例 如 ,ACL 可 以 根据 数据 包 的 协议 ,指定 
数据 包 的 优先 级 。 

ACL 提供 对 通信 流量 的 控制 。 例 如 ,ACL 可 以 限定 或 简化 路 由 更 新 信息 的 长 度 , 从 
而 限制 通过 路 由 器 某 一 网 段 的 通信 流量 。 

ACL 是 提供 网 络 安全 访问 的 基本 手段 。ACL 允许 主机 A 访问 人 力 资源 网 络 ,而 拒 
绝 主机 也 访问 。 

ACL 可 以 在 路 由 器 端口 处 决定 哪 种 类 型 的 通信 流量 被 转发 或 被 阻塞 。 例 如 ,用 户 可 
以 允许 E-mail 通信 流量 被 路 由 ,拒绝 所 有 的 Telnet 通信 流量 。 例 如 , 某 部 门 要 求 只 能 使 
96 


学 习 情 境 4 网 络 安全 配置 


用 WWW 这 个 功能 ,就 可 以 通过 ACL 实现 ; 又 如 ,为 了 某 部 门 的 保密 性 ,不 允许 其 访问 
外 网 ,也 不 允许 外 网 访问 它 , 可 以 通过 ACL 实现 。 

ACL 的 执行 流程 如 下 : 如 果 一 个 数据 包 的 报头 跟 ACL 中 某 个 条 件 判断 语句 相 匹 
配 , 那 么 后 面 的 语句 就 将 被 忽略 ,不 再 进行 检查 。 数 据 包 只 有 在 跟 第 一 个 判断 条 件 不 
匹配 时 , 它 才 被 交 给 ACL 中 的 下 一 条 条 件 判断 语句 进行 比较 。 如 果 匹 配 ( 假 设 为 允许 
BGR) , 则 不 管 是 第 一 条 还 是 最 后 一 条 语句 ,数据 都 会 立即 发 送 到 目的 接口 。 如 果 所 有 
的 ACL 判断 语句 都 检测 完毕 , 仍 没有 匹配 的 语句 出 口 , 则 该 数据 包 将 视 为 被 拒绝 而 被 
丢弃 。 

HER: ACL 不 能 对 本 路 由 器 产生 的 数据 包 进行 控制 。 


5. 防火 墙 


所 谓 防火 墙 , 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 ,在 内 部 网 和 外 部 网 之 间 专用 
网 与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 ,是 一 种 获取 安全 性 方法 的 形象 说 法 。 它 是 一 
种 计算 机 硬件 和 软件 的 结合 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security 
Gateway) ,保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 
过 滤 和 应 用 网 关 4 个 部 分 组 成 。 

防火 墙 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 (其 中 ,硬件 防火 墙 用 
得 较 少 ,国防 部 以 及 大 型 机 房 等 地 才 用 ,因为 它 价格 昂贵 ) 。 该 计算 机 流入 、 流 出 的 所 有 网 
络 通信 均 要 经 过 此 防火 墙 。 

防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ,过 滤 掉 一 些 攻击 ,以免 其 在 目标 计算 机 上 被 执 
行 。 防 火 墙 还 可 以 关闭 不 使 用 的 端口 ,禁止 特定 端口 的 流出 通信 ,封锁 “特洛伊 木马 ”"。 最 
后 , 它 可 以 禁止 来 自 特殊 站 点 的 访问 ,防止 来 自 不 明 入 侵 者 的 所 有 通信 。 


6. 什么 是 VPN 


VPN 的 英文 全 称 是 “Virtual Private Network”, 即 虚拟 专用 网 络 , 可 以 把 它 理 解 成 虚 
拟 出 来 的 企业 内 部 专线 。 它 可 以 通过 特殊 的 加 密 的 通信 协议 ,在 连接 到 Internet 上 的 位 
于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 像 架 设 了 一 条 专 
线 一 样 , 但 并 不 需要 真正 敷设 光缆 之 类 的 物理 线路 。 这 就 好 比 去 电信 和 局 申请 专线 ,但 是 不 
用 付 敷 设 线路 的 费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。VPN 原 是 路 由 器 的 重要 技术 之 
一 ,目前 在 交换 机 、 防 火 墙 设备 或 Windows 2000 软件 里 也 支持 VPN 功能 。 总 之 ,VPN 
的 核心 就 是 利用 公共 网 络 建立 虚拟 私有 网 。 

虚拟 专用 网 (VPN) 被 定义 为 通过 公用 网 络 ( 通 常 是 Internet) 建 立 一 个 临时 的 、 安 全 
的 连接 , 它 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 虚 拟 专用 网 是 对 企业 内 部 网 
的 扩展 。 虚 拟 专 用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 .商业 伙伴 及 供应 商 同 公司 的 内 部 
网 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 。 虚 拟 专用 网 可 用 于 不 断 增 长 的 移动 用 
户 的 全 球 Internet 接 人 ,实现 安全 连接 ;可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线 
路 ,用 于 经 济 、 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 。 
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任务 设计 (计划 ) 


在 简单 了 解 了 用 于 网 络 安全 的 基本 方法 和 概念 后 ,下 面 根据 ThreeFour Software A 
司 的 具体 情况 ,分 4 个 任务 来 解决 问题 。 

任务 4.1 认识 基于 设备 的 网 络 安全 

任务 4.2 配置 ACL( 访 问 控制 列表 ) 

任务 4.3 设置 防火 墙 

任务 4.4 ”建立 外 部 安全 数据 通道 一 一 VPN 


任务 实施 (实施 ) 


任务 41 认识 基于 设备 的 网 络 安全 


情境 回顾 : 为 了 维护 好 公司 的 网 络 并 保证 网 络 安全 ,公司 购买 了 相应 的 网 络 安全 产 
品 , 王 五 是 公司 的 网 络 管理 员 ,负责 网 络 中 心 设备 的 管理 工作 。 公 司 内 部 安装 了 网 络 安全 
产品 , 王 五 需要 配置 它 ,使 网 络 更 加 安全 。 

首先 要 熟悉 网 络 安全 设备 防火 墙 .IDS、VPN 设备 。 


4.1.1 防火 墙 的 应 用 


1. 防火 墙 是 网 络 安全 的 屏障 


防火 墙 (作为 阻塞 点 .控制 点 ) 能 极 大 地 提高 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 
服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环境 变 
得 更 安全 。 如 防火 墙 可 以 禁止 不 安全 的 NFS 协议 进出 受 保护 网 络 , 外 部 的 攻击 者 就 不 可 
能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同 时 可 以 保护 网 络 免 受 基 于 路 由 的 攻 
ib An IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定 向 路 径 。 防 火 墙 应 该 可 以 拒绝 所 
有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 


2. 防火 墙 可 以 强化 网 络 安全 策略 


通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 加密、 身份 认证 、 
审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 
管理 更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 口 令 系统 和 其 他 的 身份 认证 系统 完全 不 必 分 
散在 各 个 主机 上 ,而 集中 在 防火 墙 上 。 


3. 对 网 络 存 取 和 访问 进行 监控 .审计 


如 果 所 有 访问 都 经 过 防火 墙 ,那么 ,防火墙 就 能 记录 下 这 些 访问 并 作出 日 志 记 录 , 同 
时 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 适当 报警 ,并 提供 网 络 是 
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否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 。 首 
先 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防火 墙 的 控制 是 否 充 足 。 
网 络 使 用 情况 统计 对 网 络 需 求 分 析 和 威胁 分 析 而 言 也 是 非常 重要 的 。 


4.1.2 IDS 的 应 用 


IDS 是 英文 “Intrusion Detection Systems” 的 缩写 , 即 人 侵 检 测 系 统 。 专 业 上 讲 就 是 
依照 一 定 的 安全 策略 ,对 网 络 .系统 的 运行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻击 企图 .攻击 
行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 用 性 。 

可 以 做 一 个 形象 的 比喻 : 假如 防火 墙 是 一 幢 大 楼 的 门 锁 ,IDS 就 是 这 幢 大 楼 里 的 监 
视 系 统 。 一 旦 小 偷 疏 窗 进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情 
况 并 发 出 警告 。 

不 同 于 防火 墙 ,IDS 入 侵 检测 系统 是 一 个 监听 设备 ,没有 跨 接 在 任何 链 路 上 ,无 须 网 
络 流量 流 经 它 便 可 以 工作 。 因 此 对 IDS 的 部 署 ,唯一 的 要 求 是 : IDS 应 当 挂 接 在 所 有 所 
关注 流量 都 必须 流 经 的 链 路 上 。 在 这 里 ,所 关注 流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 
流量 和 需要 进行 统计 、 监 视 的 网 络 报 文 。 在 如 今 的 网 络 拓扑 中 ,已 经 很 难 找到 以 前 的 
HUB 式 的 共享 介质 冲突 域 的 网 络 , 绝 大 部 分 网 络 区 域 都 已 经 全 面 升级 到 交换 式 网 络 结 
构 。 因 此 ,IDS 在 交换 式 网 络 中 的 位 置 一 般 选 择 在 尽 可 能 靠近 攻击 源 或 尽 可 能 靠近 受 保 
护 资源 的 地 方 ,通常 是 服务 器 区 域 的 交换 机 上 、Internet 接 入 路 由 器 之 后 的 第 一 台 交 换 机 
上 或 是 重点 保护 网 段 的 局 域 网 交换 机 上 。 

防火 墙 和 IDS 可 以 分 开 操作 。IDS 是 监控 系统 ,可 以 选择 合适 的 或 是 符合 需求 的 , 若 
发 现 规则 或 监控 不 完善 ,可 以 更 改 设 置 及 规则 ,或 是 重新 设置 。 

早期 的 IDS 仅仅 是 一 个 监听 系统 。 这 里 ,可 以 把 “监听 ?理解 成 “窃听 ”。 基 于 目前 的 
局 域 网 工作 方式 ,IDS 可 以 将 用 户 对 位 于 与 IDS 在 同一 交换 机 /HUB 服务 器 的 访问 .操作 
全 部 记录 下 来 供 分 析 使 用 , 跟 常 用 的 Windows 操作 系统 的 事件 查看 器 类 似 。 后 来 ,由 于 
IDS 的 记录 太 多 ,新 一 代 IDS 将 记录 的 数据 进行 分 析 , 仅 列 出 有 危险 的 一 部 分 记录 , 跟 
Windows 所 用 的 策略 审核 很 类 似 。 目 前 的 TDS 增加 了 分 析 应 用 层 数 据 的 功能 ,配合 防火 
墙 进行 联动 ,可 分 析出 有 敌意 的 地 址 并 阻止 其 访问 。 

如 理论 与 实际 的 区 别 一 样 ,IDS 虽然 具有 上 面 所 说 的 优点 ,但 在 实际 使 用 中 ,大 多 数 
入 侵 检 测 都 采用 pass-by 的 方式 来 侦 听 网 络 上 的 数据 流 , 这 就 限制 了 TDS 本 身 的 阻 断 功 
fig. IDS 只 有 靠 发 阻 断 数据 包 来 阻 断 当前 行为 ,并 且 IDS 的 阻 断 范围 很 小 ,只 能 阻 断 建立 
在 TCP 基础 之 上 的 行为 ,如 Telnet, FTP, HTTP 等 ,而 对 于 建立 在 UDP 基础 之 上 的 行 
为 就 无 能 为 力 了 。 因 为 防火 墙 的 策略 都 是 事先 设置 好 的 ,无 法 动态 设置 ,缺少 针对 攻击 的 
必要 的 灵活 性 ,不 能 更 好 地 保护 网 络 的 安全 ,所 以 IDS 与 防火 墙 联动 能 更 有 效 地 阻 断 所 
发 生 的 攻击 事件 ,使 网 络 隐患 降 至 较 低 的 限度 。 
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任务 42 配置 ACL (访问 控制 列表 ) 


网 络 管理 者 需要 了 解 怎 样 控 制 有 害 的 网 络 访问 ,允许 恰当 的 网 络 访问 。 尽 管 有 多 种 
措施 ,如 设置 密码 .添加 物理 上 的 安全 设备 等 ,这 些 方法 当然 是 有 用 的 ,但 是 它们 缺少 网 络 
管理 者 所 期 望 的 灵活 的 基本 数据 流 过 滤 能 力 和 特定 的 控制 能 力 。 

路 由 器 提供 了 基本 的 数据 流 过 滤 能 力 , 如 使 用 访问 控制 列表 (ACL, Access Control 
List), 可 以 阻止 Internet 数据 流 。ACL 是 一 系列 允许 或 拒绝 访问 的 指令 的 集合 ,这 些 指 
令 将 运用 到 网 络 地 址 或 者 上 层 协议 中 。 本 节 将 介绍 使 用 标准 的 和 扩展 的 ACL 作为 控制 
网 络 数据 流 的 方式 和 网 络 安全 的 解决 方案 。 本 节 还 将 介绍 使 用 ACL 的 一 般 规则 、 提 示 
和 建议 ,以 及 创建 ACL 所 需 的 命令 和 配置 。 最 后 ,本 节 提 供 了 使 用 标准 和 扩展 ACL 的 
实例 ,介绍 了 如 何 将 ACL 绑 定 到 路 由 器 的 接口 。 


4.2.1 ACL 概述 


1. 什么 是 ACL 


ACL 是 运用 到 路 由 器 接口 的 指令 列表 。 这 些 指令 告诉 路 由 器 接收 哪些 数据 包 ,拒绝 
哪些 数据 包 。 接 收 或 者 拒绝 根据 一 定 的 规则 进行 ,如 源 地 址 .目标 地 址 、 端 口号 等 。ACL 
使 得 用 户 能 够 管理 数据 流 ,检测 特定 的 数据 包 。 路 由 器 将 根据 ACL 中 指定 的 条 件 , 对 经 
过 路 由 器 端口 的 数据 包 进行 检查 。 

ACL 可 以 基于 所 有 的 路 由 协议 ,如 IP 和 IPX, 对 经 过 路 由 器 的 数据 包 进 行 过 滤 。 基 
T IP 协议 的 ACL 称 为 IP ACL, 基 于 IPX 的 ACL fy IPX ACL, 本 节 只 介绍 IP ACL. 
另外 ,ACL 可 以 配置 成 控制 对 网 络 或 者 子 网 的 访问 。 

按照 路 由 器 ACL 在 端口 过 滤 网 络 数据 流 , 决 定 是 否 转发 或 者 阻止 可 路 由 数据 包 。 
路 由 器 根据 ACL 中 指定 的 条 件 决定 转发 或 者 丢弃 数据 包 。 这 些 条 件 可 以 是 数据 包 的 源 
地 址 、 目 的 地 址 、 上 层 协 议 或 者 其 他 信息 。 

ACL 应 该 根据 路 由 器 的 端口 所 允许 的 每 个 协议 来 制定 ,如 果 需 要 控制 流 经 某 个 端口 
的 所 有 数据 流 , 需 要 为 该 端口 允许 的 每 一 个 协议 分 别 创建 ACL( 某 些 协议 将 ACL 称 为 过 
滤器 ) 。 例 如 ,如 果 端 口 配置 成 允许 IP. AppleTalk 和 IPX 协议 的 数据 流 , 那 么 需要 创建 
至 少 三 个 ACL。ACL 可 以 用 做 控制 和 过 滤 流 经 路 由 器 端口 的 数据 包 的 工具 。 


2. ACL 的 用 途 


CD 限制 网 络 数据 流 、 增 加 网 络 性 能 。 例 如 ,根据 不 同 的 协议 ,ACL 可 以 指定 路 由 器 
先 处 理 哪 些 数 据 包 , 这 叫做 队列 管理 ,使 得 路 由 器 不 去 处 理 不 需要 的 数据 包 , 结 果 是 队列 
管理 限制 了 网 络 数据 流 ,减少 了 网 络 拥塞 。 

© 提供 数据 流 控 制 。 例 如 ,ACL 可 以 限定 或 者 减少 路 由 更 新 的 内 容 。 这 些 限 定 用 
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于 限制 关于 某 个 特定 网 络 的 信息 传播 到 整个 网 络 。 
© 为 网 络 访问 提供 基本 的 安全 层 。ACL 可 以 允许 某 个 主机 访问 网 络 的 某 一 部 分 ， 
而 阻止 另 一 台 主 机 访问 网 络 的 这 个 部 分 。 主 机 A 可 以 访问 某 个 子 网 ,主机 B 禁止 访问 该 
子 网 ,假如 不 在 路 由 器 上 配置 ACL, 所 有 流 经 路 由 器 的 数据 包 都 允许 进入 网 络 的 所 有 
部 分 。 

@ 决定 转发 或 者 阻止 哪些 类 型 的 数据 流 。 例 如 ,允许 路 由 E-mail 的 数据 流 , 而 阻止 
Telnet 的 数据 流 。 


4.2.2 ACL 的 工作 过 程 


ACL 的 工作 原理 是 查看 数据 包 的 第 三 层 或 者 第 四 层 信 息 。 通 过 读 取 数 据 包 的 这 些 
信息 ,ACL 按照 事先 设置 好 的 一 套 规则 来 决定 如 何 处 理 数据 包 , 是 将 它们 转发 到 目的 地 ， 
还 是 丢弃 该 数据 包 。ACL 可 以 说 是 防火 墙 的 雏形 。 当 然 , 仅 仅 对 逻辑 地 址 进行 安全 检查 
没有 多 大 作用 ,因为 很 多 黑客 攻击 都 能 够 隐藏 或 修改 地 址 ,应 当 把 ACL 与 其 他 安全 方式 
结合 起 来 ,才能 提高 安全 性 。 


1. ACL 的 操作 过 程 


车 路 由 器 配置 了 ACL, 要 在 转发 之 前 将 数据 发 往 ACL 进行 验证 。 如 果 通 过 验证 ,路 
由 器 将 其 转发 ;如 果 没 有 通过 验证 ,路 由 器 将 其 丢弃 。 

创建 了 ACL 之 后 ,可 以 将 其 绑 定 到 路 由 器 的 入 口 或 者 出 口 , 分 别称 为 人 栈 ACL 和 
出 栈 ACL, 

(1) 入 栈 (Inbound)ACL 

AFR ACL 48 ACL 被 绑 定 到 路 由 器 某 个 接口 的 入 口 。 当 在 该 接口 收 到 数据 时 ,先进 
行 ACL 检查 ,只 有 通过 检查 , 才 允 许 该 数据 包 进 入 路 由 器 。 路 由 器 再 查看 路 由 表 , 然 后 
将 数据 包 转 发 ,否则 该 数据 包 在 进入 路 由 器 之 前 就 被 丢弃 了 。 

当 数据 包 进入 路 由 器 时 ,首先 检查 该 接口 是 否 绑 定 了 入 栈 ACL. WRB ET ARR 
ACL, AFR ACL 会 对 数据 包 进 行 检查 。 如 果 符 合 ACL 的 条 件 , 将 该 数据 包 送 入 路 由 表 
进行 路 由 转发 ;如 果 不 符合 ACL 的 条 件 , 则 丢弃 该 数据 包 。 

另外 ,使 用 入 栈 ACL 会 大 大 提高 路 由 器 的 性 能 ,因为 先 要 检查 数据 ,然后 转发 ,这 
样 ,非法 数据 包 在 进入 路 由 表 之 前 就 被 丢弃 了 ,节省 了 路 由 表 的 查找 开销 。 

(2) IKER (Outbound) ACL 

出 栈 ACL 48 ACL 被 绑 定 到 路 由 器 某 个 接口 的 出 口 。 数 据 包 从 某 个 接口 进入 路 由 
器 ,经 过 路 由 表 转 发 。 当 转发 到 绑 定 了 出 栈 ACL 的 接口 时 ,进行 数据 包 出 栈 检查 。 如 果 
通过 检查 ,数据 包 可 以 从 该 接口 转发 出 去 ;如 果 没 有 通过 检查 ,数据 包 将 被 丢弃 。 

当 数 据 包 从 某 个 接口 进入 路 由 器 时 ,如 果 进 入 接口 没有 绑 定 和 人 栈 ACL, 则 通过 路 由 
表 转 发 。 当 决定 转发 到 某 个 输出 接口 时 ,在 数据 包 从 输出 接口 出 去 之 前 ,会 检查 该 出 口 是 
否 绑 定 了 出 栈 ACL。 如 果 绑 定 了 出 栈 ACL. WR ACL 会 对 该 数据 包 进 行 检 查 。 如 果 符 
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合 条 件 ,将 数据 包 从 该 接口 转发 出 去 ;如 果 不 符合 条 件 , 则 丢弃 该 数据 包 。 

也 就 是 说 ,对 于 入 栈 ACL， 人 允许 ?意味 着 路 由 器 在 该 接口 接收 到 的 数据 包 进行 下 一 
步 处 理 (路 由 ,转发 ); “拒绝 "意味 着 丢弃 该 数据 包 , 并 返回 ICMP 信息 。 对 于 出 栈 ACL. 
“允许 ?意味 着 数据 包 被 发 送 到 输出 接口 ;拒绝 ”意味 着 丢弃 该 数据 包 , 并 返回 ICMP 
信息 。 


2. ACL 的 逻辑 测试 过 程 


访问 控制 列表 (ACL) 是 一 张 由 多 条 命令 组 成 的 “ 表 ”, 这 些 命令 语句 规定 了 一 个 或 多 
个 逻辑 条 件 。 命 令 语句 的 一 般 格 式 是 : 


条 件 + 满足 条 件 采取 的 操作 


例如 ,该 命令 的 条 件 是 TP 地 址 为 1. 1. 1. 1, 如 果 数 据 包 的 TP 地 址 恰 为 1. 1. 1. 1, 则 表 
明 条 件 匹配 。 条 件 匹 配 后 ,根据 命令 的 操作 进行 转发 或 丢弃 。 

数据 包 进 入 ACL 的 测试 过 程 中 ,会 按照 ACL 中 命令 语句 的 顺序 从 上 至 下 检查 。 

CD 如 果 数 据 包 与 ACL 中 的 某 条 语句 匹配 , 则 列表 中 的 其 他 语句 被 忽略 。 注 意 ,“ 匹 
配 ?是 指数 据 包 满 足 该 命令 的 条 件 。 

O 如 果 数 据 包 与 某 个 命令 不 匹配 , 则 继续 检查 ACL 下 一 条 命令 语句 ,直到 匹配 
Jub. 

© 如 果 到 达 ACL 的 最 后 一 条 命令 仍 不 匹配 ,数据 包 会 被 丢弃 。 这 是 因为 ACL 中 隐 
含 了 一 条 命令 语句 : 拒绝 所 有 。 该 语句 的 条 件 是 “所 有 ”操作 是 “拒绝 ”。 当 数据 包 到 达 最 
后 这 条 隐 含 语句 时 ,当然 会 满足 该 语句 的 条 件 ( 所 有 ) ,因此 被 拒绝 了 。 

例如 , 某 个 ACL 要 求 只 允许 主机 192. 168. 1. 1 和 网 络 172. 16. 0. 0 的 数据 包 通 过 ,可 
以 包含 如 下 命令 。 

第 一 条 命令 :“ 条 件 ? 为 IP 地 址 192. 168. 1. 1, “操作 ?为 允许 。 

第 二 条 命令 :“ 条 件 ” 为 网 络 地 址 172. 16. 0,0 六 操作 ?为 允许 。 

当 某 个 数据 包 的 地 址 是 192. 168. 1. 1 时 ,数据 包 进 入 ACL 接受 第 一 条 命令 的 检查 ， 
条 件 匹 配 ,允许 通过 ,并 且 退 出 ACL 的 检查 ,不 会 接受 第 二 条 命令 的 检查 。 

当 某 个 数据 包 的 地 址 是 1. 1. 1. 1 时 ,数据 包 进入 ACL ,接受 第 一 条 命令 的 检查 ,条 件 
不 匹配 ;接受 第 二 条 命令 的 检查 ,条 件 仍 不 匹配 ;接受 隐 含 命令 的 检查 ,条件 匹配 ,拒绝 。 

注意 : 

(D AA ACL 包含 了 一 条 隐 含 语句 “拒绝 所 有 ”, 因 此 使 用 ACL 要 小 心 , 至 少 ACL 中 
要 有 一 条 允许 语句 ,否则 所 有 数据 包 都 会 被 ACL 拒绝 。 

@ ACL 命令 的 配置 顺序 是 很 重要 的 。 当 路 由 器 决定 是 否 转发 或 者 阻止 数据 包 的 时 
候 ,Cisco 的 IOS 软件 按照 ACL 中 指令 的 顺序 依次 检查 数据 包 是 否 是 某 一 个 指令 条 件 ， 
所 以 应 该 把 限制 最 严格 的 语句 放 在 ACL 的 顶端 ,以 提高 性 能 。 

@@ 当 检 测 到 某 个 命令 条 件 满足 的 时 候 ,就 不 再 检测 后 面 的 指令 条 件 。 

图 应 该 先 建立 ACL, 再 将 其 绑 定 到 入 口 或 者 出 口 。 

© ACL 只 能 过 滤 通过 路 由 器 的 数据 流量 ,不 能 过 滤 路 由 器 本 身 产 生 的 数据 流量 。 
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4.2.3 ACL 分 类 


根据 对 数据 包 的 检查 过 程 ,有 两 类 ACL: 标准 ACLA Standard) 和 扩展 ACLCExtended) 。 
标准 ACL 检查 数据 包 的 源 地 址 ,然后 决定 允许 还 是 拒绝 转发 该 数据 包 。 扩 展 ACL 检查 数 
据 包 的 源 地 址 .目的 地 址 .特定 协议 .端口 号 码 以 及 其 他 参数 。 扩 展 ACL 使 用 更 灵活 。 


1. 标准 ACL 


标准 ACL 通过 查看 数据 包 的 源 逻 辑 地 址 来 判断 取舍 , 即 只 检查 数据 包 的 第 三 层 信 
息 ,而 不 检查 其 他 信息 ,因此 它 不 能 对 数据 包 进行 更 精确 的 检验 。 例 如 ,图 4-1 所 示 是 一 
个 标准 ACL ,可 以 在 路 由 器 的 EO 口上 绑 定 出 栈 ACL, 禁 止 网 络 172. 16. 0. 0 访问 网 络 
10, 0. 0. 0 而 允许 192. 168. 1. 0 访问 。 


10.0.0.0 mI 10.1.1.1 1000.0 fail 10.1.1.1 
172.16.0.0 172.16.0.0 EO 
== 192.168.1.0 192.168.1.0 
Ej El e 
2.16 172.16.1.1 一 
nnum 192.168.1.1 Telnet 192.168.1.1 
图 4-1 标准 ACL 图 4-2 扩展 ACL 


2. 扩展 ACL 


扩展 ACL 不 仅 查看 数据 包 的 源 地 址 ,而 且 查 看 数据 包 的 目的 地 址 .端口 号 .协议 等 
信息 , 即 既 查 看 第 三 层 信息 ,又 查看 第 四 层 信 息 。 因 此 ,扩展 ACL 可 以 进行 更 加 灵活 的 
检验 。 例 如 , 它 人 允许 某 台 主 机 通过 FTP( 端 口号 21) 协 议 访问 某 个 网 络 ,而 不 允许 它 通过 
Telnet( 端 口号 23) 访 问 , 如 图 4-2 所 示 。 

在 图 4-2 中 ,可 以 在 路 由 器 的 E2 接口 绑 定 出 栈 ACL. fei EBL 172. 16. 1. 1 通过 
FTP 访问 主机 192. 168. 1. 1 ,而 不 允许 通过 Telnet 访问 。 


4.2.4 ACL 配置 

不 管 是 标准 ACL 还 是 扩展 ACL, 它 们 的 配置 步骤 都 遵循 两 个 过 程 : 创建 ACL 和 将 
ACL 绑 定 到 某 个 接口 。 

1. 创建 ACL 


配置 ACL 的 第 一 步 是 先 创建 ACL。 我 们 知道 ,ACL 是 一 个 包含 着 一 条 或 多 条 命令 
的 “ 表 ”, 创 建 ACL 其 实 就 是 向 某 个 ACL 填写 命令 的 过 程 。 
命令 的 一 般 格式 是 : 
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ACL 编号 + 操作 + 条 件 
另外 ,配置 ACL 的 时 候 需 要 为 每 一 个 协议 的 ACL 指定 一 个 唯一 的 数字 ,用 于 标识 
这 个 ACL。 这 个 数字 必须 在 有 效 的 范围 之 内 。 
为 每 一 个 协议 的 ACL 指定 的 数字 范围 如 表 4-1 所 示 。 创 建 ACL 的 通用 命令 如 
dé 4-2 所 示 。 
表 4-1 ACL 的 编号 范围 


IP ACL 编号 范围 IP ACL 编号 范围 
标准 ACL 1~99 标准 ACL 800 一 899 
扩展 ACL 100 一 199 扩展 ACL 900 一 999 


表 4-2 创建 ACL 的 通用 命令 
tt s 说 y 


Router(config) # access-list ACL 编号 
[permit| deny] 测试 条 件 


Router(config) # no access-list ACL 编号 删除 某 个 ACL 


创建 某 个 ACL ,并 向 其 中 添加 一 条 命令 语句 


说 明 : 

D 可 以 向 一 个 ACL 写 入 多 条 语句 。 

© ACL 的 配置 命令 比较 繁琐 ,尤其 是 需要 向 一 个 ACL 添加 多 条 命令 语句 时 ,使 用 
文本 文件 事先 将 命令 编辑 好 ,再 复制 .粘贴 到 IOS 中 是 一 个 不 错 的 办 法 。 

© 使 用 “no access-list 编号 ”删除 整个 ACL。 注 意 ,在 标准 和 扩展 ACL 中 ,不 能 够 删 
除 ACL 中 的 某 一 条 命令 语句 ,只 能 一 次 删除 整个 ACL。 


2. 将 ACL 绑 定 到 某 个 接口 


创建 了 ACL ,就 可 以 将 它 绑 定 到 路 由 器 的 某 个 接口 。 注 意 , 一 定 要 先 创建 再 绑 定 。 
表 4-3 所 示 是 绑 定 的 通用 命令 。 
#43 WE ACL 的 通用 命令 
wr s 说 å y 


将 某 个 ACL 绑 定 到 路 由 器 的 某 个 接口 上 。 参 数 
protocol 指明 了 是 基于 什么 协议 的 ACL, 常 用 的 有 IP 
和 IPX; 参 数 in/out 指明 是 绑 定 到 人口 还 是 出 口 


Router(config-if) # protocol access-group 
ACL 4i 5 [in| out] 


4.2.5 Wid f d ng 


ACL 通过 测试 进入 的 数据 包 是 否 符合 某 个 条 件 来 决定 是 允许 还 是 拒绝 发 送 ,那么 ， 
需要 某 种 方法 来 识别 给 定 的 IP 地 址 是 否 匹 配 规定 的 条 件 。 通 配 符 掩 码 (Wildcard Bits) 
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用 于 检测 条 件 是 否 匹 配 。 

路 由 器 使 用 通配符 掩 码 与 源 或 目标 地 址 一 起 来 分 辨 匹配 的 地 址 范围 。 正 如 子 网 掩 码 
告诉 路 由 器 IP 地 址 的 哪 一 位 属于 网 络 号 一 样 ,通配符 掩 码 告诉 路 由 器 如 何 判 断 是 否 匹 
配 , 它 需 要 检查 IP 地 址 中 的 多 少 位 。 这 个 地 址 掩 码 对 (由 地 址 和 掩 码 组 成 的 一 对 数字 ) 只 
使 用 两 个 32 位 号 码 来 确定 TP 地 址 的 范围 ,这 是 十 分 方便 的 。 因 为 如 果 没 有 掩 码 的 话 , 用 
户 不 得 不 对 每 个 匹配 的 TP. 客户 地 址 加 入 单独 的 访问 列表 语句 ,这 将 造成 路 由 器 大 量 额外 
的 处 理 过 程 ,所 以 地 址 掩 码 对 相当 有 用 。 

与 子 网 掩 码 类 似 , 通 配 符 掩 码 是 由 0,1 二 进 制 数组 成 的 32 位 数字 ,分 成 4 段 。32 位 
中 的 每 一 位 正好 和 IP 地 址 的 相应 位 对 应 ,如 图 4-3 所 示 。 


172.16.1.1 


IP 地 址 10101100.00010000.00000001.00000001 


通配符 掩 码 00000000.00000000.00000000.00000000 
图 4-3 通配符 掩 码 


可 以 配置 通配符 掩 码 来 决定 检查 TP 地 址 的 哪 一 位 ,忽略 哪 一 位 ,检查 规则 如 下 : 

CD 通配符 掩 码 为 1 的 那 一 位 意味 着 忽略 该 位 所 对 应 的 IP 地 址 的 那 一 位 。 

© 通配符 扼 码 为 0 的 那 一 位 意味 着 检查 该 位 所 对 应 的 TP. 地 址 的 那 一 位 。 

例如 ,如 图 4-4 所 示 ,通配符 掩 码 是 0.0.0.255, 意 味 着 检查 前 三 个 8 位 组 的 最 后 一 个 
8 位 。 该 通配符 掩 码 与 IP 地 址 172. 16. 1. 1 组 合 形 成 地 址 掩 码 时 会 产 一 个 条 件 : 所 有 IP 
地 址 的 前 三 组 8 位 是 172. 16. 1 的 主机 ( 即 网 络 ID 是 172. 16. 1.0 的 主机 ) 。 


172.16.1.1 


IP 地 址 10101100.00010000.00000001.00000001 


通配符 掩 码 00000000.00000000.00000000.11111111 
图 4-4 通配符 掩 码 实例 


当然 ,刚才 的 例子 是 非常 简单 的 一 种 情况 ,如果 IP 地 址 172. 16. 144. 0 和 通配符 掩 码 
0. 0. 15. 255 组 成 地 址 掩 码 对 ,检测 的 条 件 会 是 怎样 的 呢 ?” 下 面 来 分 析 一 下 。 

如 图 4-5 所 示 ,符合 条 件 的 网 络 是 172. 16. 145. 0 一 172. 16. 159.0。 可 以 看 出 ,在 上 面 
的 IP 地址 中 ,前 两 个 8 位 是 172.16, 第 3 个 8 位 的 前 4 位 是 1001, 满 足 了 条 件 ,后 12 位 
可 以 是 任意 数字 ,因为 对 应 后 12 位 的 掩 码 都 是 1。 由 此 可 以 看 出 ,使 用 通配符 掩 码 不 仅 
可 以 检查 某 个 主机 、 某 个 网 络 ,还 可 以 检查 某 一 些 网 络 ,因此 灵活 地 配置 通配符 掩 码 可 以 
满足 不 同 的 网 络 要 求 。 
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172. 16. 144. 0 
IP 地 址 172. 16. 10010000.0 
通配符 掩 码 0. 0. 00001111. 255 
可 用 的 网 络 172. 16. 10010001. 0= 172. 16. 145. 0 


172. 16. 10010002. 0=172. 16. 146. 0 


172. 16. 10011111, 0=172. 16. 159. 0 
图 4-5 地 址 掩 码 对 


通配符 掩 码 与 子 网 掩 码 是 很 容易 混淆 的 两 个 概念 ,尽管 都 是 32 位 的 ,但 是 通配符 掩 
码 与 IP 子 网 拖 码 的 工作 原理 不 同 。 在 子 网 掩 码 中 ,0 或 者 1 决定 了 相应 主机 的 TP 地 址 
是 网 络 位 、 子 网 位 ,还 是 主机 位 ;在 通配符 掩 码 中 ,相应 位 0 或 者 1 决定 ACL 是 否 检 查 或 
者 忽略 IP 地 址 中 的 相应 位 。 


1. any 命令 


与 十 进 制 数 表示 的 二 进 制 通配符 掩 码 位 打交道 是 很 枯燥 的 , 某 些 通 配 符 掩 码 可 以 使 
用 缩写 形式 替代 。 这 些 缩 写 形式 减少 了 在 配置 地 址 、 检 查 条 件 时 的 输入 量 。 例 如 ,假如 想 
使 任何 目标 地 址 都 被 允许 ,为 了 检查 地 址 ,需要 输入 0. 0.0.0。 要 使 ACL 忽略 任意 值 , 通 
BOTE RO Jy 255. 255. 255. 255, 可 以 使 用 缩写 形式 指定 相同 的 测试 条 件 。 例 如 ,替代 下 面 
BA Hi hE HETI XT 


0.0.0.0. 255.255.255.255 
可 以 使 用 


any 


2. host 命令 


当 想 匹配 IP 地 址 中 所 有 的 位 时 ,Cisco IOS 允许 使 用 另 一 个 ACL 通配符 掩 码 的 缩 
写 。 假 如 想 指 定 一 个 特定 的 IP 地 址 在 ACL 的 检查 中 被 允许 。 为 了 指明 这 个 主机 地 址 ， 
输入 整个 地 址 (如 171. 30. 16. 29) 。 然 后 ,为 了 指明 ACL ,将 检查 地 址 中 的 所 有 位 以 及 相 
应 的 通配符 掩 码 的 各 位 设置 成 0( 即 0.0. 0. 0) ,可 以 使 用 缩写 形式 。 在 这 个 例子 中 ,为 了 
替换 171. 30. 16. 29 0. 0. 0. 0 ,可 以 在 地 址 前 使 用 host. 

例如 ,为 了 替换 地 址 掩 码 对 171. 30. 16. 29 0. 0. 0.0 ,可 使 用 host 171. 30. 16. 29 。 


4.2.6 标准 ACL 的 配置 


如 果 想 允许 /禁止 来 自 于 某 个 网 络 的 所 有 数据 流 ,或 者 禁止 某 一 套 协议 的 数据 流 , 可 
以 使 用 标准 ACL. 标准 ACL 检查 可 路 由 的 数据 包 的 源 地 址 , 即 根据 源 地 址 中 的 网 络 、 子 
网 和 主机 地 址 ,判断 允许 或 者 拒绝 来 自 于 整套 协议 的 数据 包 。 例 如 ,对 于 来 自 E0 端口 的 
数据 包 , 将 检查 它 的 源 地 址 和 协议 。 如 果 被 允许 ,将 输出 到 SO 端口 ;如 果 被 禁止 ,数据 包 
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将 被 丢弃 。 
标准 ACL 的 配置 过 程 分 为 两 步 : 创建 ACL 和 绑 定 ACL, 其 配置 命令 如 表 4-4 所 示 。 


表 4-4 标准 ACL 的 配置 


命 * 说 明 
Router(config) # access-list ACL 编号 创建 标准 ACL。 注 意 ,ACL 编号 范围 必须 是 1 一 99, 默 
[Lpermit|deny] 源 地 址 ”通配符 掩 码 认 通 配 符 掩 码 是 0. 0. 0.0 
Router(config-if) # ip access-group ACL 将 一 个 已 存在 的 ACL 绑 定 到 某 个 接口 上 ,参数 in|out 
编号 [in|out]J 指明 是 和 人 栈 ACL 还 是 出 栈 ACL。 默 认为 出 栈 ACL 


查看 已 经 存在 的 ACL 包含 的 命令 语句 ,如 果 不 指定 
ACL 编号 , 则 显示 所 有 的 ACL 


Router & show ip interface 接口 标识 查看 是 否 为 某 个 接口 绑 定 了 ACL 


Router # show access-list[ ACL 编号 ] 


注意 : 对 于 任 一 端口 的 各 个 协议 的 每 一 个 方向 ,只 允许 存在 一 个 ACL。 
例如 : 


Router (config) # access- list 1 permit 191.5.34.0 0.0.0.255 
Router (config) # access- list 1 permit 128.88.0.0 0.0.255.255 
Router (config) # access- list 1 permit 36.0.0.0 0.255.255.255 
Router (config) # interface EO 

Router (config- if) # ip access- group 1 out 

Router# show access- list 1 


输出 结果 如 下 : 


Standard IP access list 1 

permit 191.5.34.0 

permit 128.88.0.0 

permit 36.0.0.0 

在 这 个 例子 中 ,通配符 掩 码 运 用 到 网 络 地 址 部 分 。 对 于 任何 源 地 址 ,如 果 与 ACL 指 
令 不 匹配 ,都 将 被 拒绝 。 

为 了 使 指定 大 量 的 单个 地 址 更 容易 ,如 果 通 配 符 掩 码 是 全 0, 可 以 忽略 通配符 掩 码 ， 
这 样 ,下 面 的 三 条 配置 命令 具有 相同 的 效果 : 


access- list 2 permit 36.48.0.3 
access- list 2 permit 36.48.0.3 0.0.0.0 


access- list 2 permit host 36.48.0.3 Griso) 
172.16.4.0 
ale 


BI 4-1 指定 特定 网 络 。 


只 允许 来 自 网 络 171. 16. 0. 0 的 数据 包 被 转 S0 

发 ,其 余 的 数据 包 都 将 被 阻止 ,如 图 4-6 所 示 。 Si -B 
(1) 创建 标准 ACL ,命令 如 下 : 
Router (config)£access- list 1 permit 171.16.0. 图 4.6 B LIA 


0 0.0.255.255 
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(2) 将 ACL 绑 定 到 EO 和 El 的 出 口上 ,命令 如 下 : 


Router (config)# interface EO 

Router (config-if)# ip access- group 1 out 

Router (config) # interface El 

Router (config- if) # ip access- group 1 out 

例 42 阻止 特定 地 址 。 

阻止 来 自 于 特定 地 址 171. 16. 4. 13 的 数据 流 , 其 他 数据 流 被 转发 到 以 太 网 口 E0。 
COD 创建 标准 ACL, 命 令 如 下 : 


Router (config)# access- list 1 deny 171.16.4.13 0.0.0.0 
Router (config)# access- list 1 permit any 


(2) 绑 定 ,命令 如 下 : 


Router (config)# interface EO 

Router (config- if)#ip access- group] out 

第 一 条 access-list 命令 用 deny 20 8 ILA FL T 3X 4 IKE E LAY Ha Wik. JU BE 3 
.0. 0 表明 要 检查 匹配 地 址 中 的 所 有 位 。 

在 第 二 条 access-list 命令 中 ,0. 0. 0. 0 255. 255. 255. 255 地 址 和 通配符 掩 码 组 合 , 表 
示人 允许 来 自 于 任何 源 地 址 的 数据 流 。 这 个 组 合 也 可 以 用 关键 字 any 替代 。 在 地 址 中 ,全 
0 表示 占 位 符 , 通 配 符 掩 码 中 的 全 1 表示 地 址 中 的 32 位 都 不 会 被 检查 。 任 何 一 个 不 匹配 
第 一 条 指令 的 数据 包 将 匹配 第 二 条 指令 。 

例 4-3 阻止 特定 的 子 网 。 
阻止 来 自 于 特定 子 网 171. 16. 4. 0 的 数据 通过 EO 端口 ,而 转发 其 他 数据 。 
(D. 创建 ACL ,命令 如 下 : 


2 


Router (config) # access- list 1 deny 171.16.4.0 0.0.0.255 
Router (config) # access-list 1 permit any 


(2) 绑 定 ,命令 如 下 : 


Router (config)# interface EO 
Router (config- if)# ip access- groupl out 


4.2.7 扩展 ACL 的 配置 


扩展 ACL 提供 了 比 标准 ACL 更 大 范围 的 控制 ,因而 运用 更 广 。 例 如 ,可 以 使 用 扩 
JE ACL 来 实现 允许 Web 数据 流 而 禁止 FTP 或 Telent。 扩 展 ACL 可 以 检查 源 地 址 和 目 
标 地 址 、 特 定 协议 .端口 号 以 及 其 他 参数 ,更 加 灵活 地 描述 ACL 的 任务 ,一 个 数据 包 可 以 
根据 它 的 源 或 者 目的 地 址 而 被 允许 或 者 禁止 。 例 如 ,扩展 ACL 可 以 允许 来 自 E0 要 送 到 
So 的 E-mail 数据 ,而 禁止 远程 登录 或 者 文件 传输 。 

假设 端口 EO 与 一 个 扩展 ACL 相关 联 , 可 以 使 用 精确 的 逻辑 指令 来 创建 ACL。 在 数 
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据 包 进入 这 个 端口 之 前 ,相应 的 ACL 将 对 其 进行 检查 。 

基于 扩展 ACL 检查 ,数据 包 将 被 允许 或 禁止 。 对 于 进入 端口 的 数据 ,允许 的 数据 包 
将 被 继续 处 理 ; 对 于 发 出 端口 的 数据 ,允许 的 数据 包 将 被 转发 到 E0 端口 ,拒绝 的 数据 包 
将 被 丢弃 , 某 些 协议 还 会 向 发 送 方 传 送 数 据 包 , 说 明 目 标 不 可 到 达 。 

一 个 ACL 中 可 以 包含 任意 多 条 指令 ,每 一 条 指令 应 该 具有 相同 的 标识 名 或 者 数字 。 
ACL 中 的 指令 越 多 ,就 越 难 理解 和 管理 。 所 以 ,为 ACL 做 好 文档 可 以 防止 混淆 。 

标准 ACL( 数 字 1~~99) 可 以 提供 数据 流 过 滤 控 制 , 这 是 基于 源 地 址 和 掩 码 实现 的 。 
标准 ACL 可 以 允许 或 禁止 整套 IP 协议 。 

为 了 进行 更 加 精确 的 数据 流 过 滤 ,需要 扩展 ACL。 扩 展 ACL 检查 源 地 址 和 目标 地 
址 ,以 及 TCP 或 UDP 端口 号 ,还 可 以 指定 扩展 ACL 针对 特定 的 协议 进行 操作 。 扩 展 


ACL 使 用 的 数字 范围 是 100 一 199。 


扩展 ACL 的 配置 步骤 为 : 创建 扩展 ACL, 然 后 绑 定 到 某 个 端口 。 
如 表 4-5 所 示 , 这 里 给 出 的 创建 ACL 的 命令 并 没有 包含 全 部 参数 和 选项 。 表 4-6 列 


出 了 常用 的 端口 号 。 


表 4-5 扩展 ACL 的 配置 


说 明 


Router (config) # access-list access-list- 
number [ permit | deny ] protocol source 
source-mask [ operator port | destination 


destination-mask[ operator port} 


创建 一 个 扩展 ACL, 参 数 说 明 如 下 

access-list-number; 100 一 199 的 数字 用 于 标志 ACL 
protocol 可 以 是 IP. TCP, UDP.ICMP.GRE 或 IGRP 
source 和 source-mask: 源 地 址 和 源 掩 码 

operator port: TCP 的 操作 端口 号 ,可 以 是 lt( 小 于 ) gt C 
于 ) .eq( 等 于 ) .neq( 不 等 于 ) 某 个 端口 号 

destination 和 destination-mask: 目的 地 址 和 目的 掩 码 


Router ( config-if) # ip access-group 


access-list-number[in|out] 


绑 定 ACL 到 某 个 接口 上 


Router# show access-list access-list-number 


显示 ACL 包含 的 命令 语句 


Router# show ip interface 接口 标识 


查看 是 否 为 某 个 接口 绑 定 了 ACL 


表 4-6 常用 的 端口 号 


常见 的 端口 号 IP pix 常见 的 端口 号 IP 协议 
20 FTP 25 SMTP 
21 FTP 53 DNS 
23 Telnet 69 TETP 


BI 4-4 使 用 扩展 ACL. 


要 求 只 有 主机 172. 16. 1. 1 能 够 通过 FTP 访问 网 络 192. 168. 1. 0, 如 图 4-7 所 示 。 
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CD 创建 扩展 ACL ,命令 如 下 : 


Router (config)# access- list 100 permit TCP 172.16.1.1 0.0.0.0 192.168.1.0 0.0.0.255 eq 20 


(2) 将 ACL 绑 定 到 E2 的 出 口 命令 如 下 : 


Router (config) # interface E2 
Router (config- if) # ip access- group 100 out 


10.0.0.0 2] 10.1.1.1 10.1.1.1 
p 192.168.1.0 192.168.1.0 
172.16.1.1 172.16.1.1 Xe 
192.168.1.1 Telnet 192.168.1.1 
图 4-7 $5 4-4 的 图 图 4-8 例 4-5 的 图 


例 4-5 使 用 扩展 ACL. 


拒绝 网 络 172. 16. 0. 0 通过 Telent 访问 任何 网 段 ,允许 其 他 所 有 IP 数据 流 ,如 图 4-8 


所 示 。 
(1) 创建 扩展 ACL ,命令 如 下 


Router (config)# access- list 101 deny tcp 172.16.0.0 0.0.255.255 any eq 23 


Router (config)# access- list 101 permit ip any any 


命令 行 中 的 第 一 个 any 为 源 地 址 ,第 二 个 any 为 目的 地 址 ,两 个 any 表示 源 和 目的 都 


为 任意 。 
(2) 绑 定 ACL 到 El 的 出 口 ,命令 如 下 ， 


Router (config) # interface El 
Router (config- if) # ip access- group 101 in 


Bl 4-6 使 用 扩展 ACL. 


禁止 网 络 192. 168. 1.0 使 用 ping 命令 访问 网 络 172. 16. 0.0 ,允许 其 他 TP 数据 流 ,如 


图 4-9 所 示 。 
(D 创建 扩展 ACL ,命令 如 下 : 


Router (config)# access- list 199 deny icmp 192.168. 


1.0 0.0.0.0 172.16.0.0 0.0.255.255 
Router (config)# access- list 199 permit ip any any 


(2) 绑 定 ACL. dm o WF: 


Router (config) # interface El 
Router (config- if)# ip access- group 199 out 
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10.0.0.0 |..— | 10.1.1.1 


172.16.0.0 Ic 
E0 192.168.1.0 
Bl -ar zy Ej 


172.16.1.1 


ICMP 192.168.1.1 
图 4-9 例 4-6 的 图 
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4.2.8 命名 ACL 的 配置 


可 以 使 用 字符 串 代替 数字 来 标识 ACL, 称 为 命名 (Named)ACL。 命 名 ACL 作为 一 
种 特殊 的 ACL, 具 有 很 多 优点 : 

CD 可 以 用 有 含义 的 字符 串 直观 地 标识 一 个 ACL. 

© 在 路 由 器 上 ,对 于 给 定 的 协议 , 当 需 要 的 配置 超出 了 99 个 标准 ACL 或 者 100 个 
扩展 ACL 时 ,可 以 采用 命名 ACL。 

@ 可 以 在 不 删除 整个 ACL 的 情况 下 修改 ACL 中 的 某 一 条 语句 。 

在 使 用 命名 ACL 的 时 候 , 需 要 考虑 到 以 下 因素 : 

(D 命名 ACL 与 Cisco IOS 11. 2 之 前 的 版 本 不 兼容 。 

O 命名 ACL 也 包含 标准 和 扩展 ACL. 

© 不 能 为 多 个 ACL 使 用 相同 的 名 字 。 不 同类 型 的 ACL 不 能 使 用 相同 的 名 字 。 

为 了 给 一 个 ACL 命名 ,可 以 使 用 表 4-7 所 示 的 命令 。 

KAT 命名 ACL 配置 
ft ^ 说 5 


创建 一 个 命名 ACL. 5 standard 和 extended 
指明 了 是 标准 还 是 扩展 ACL, S 3X name 是 标 
识 ACL 的 名 称 的 字符 串 ( 命 令 执行 后 ,进入 如 
下 模式 : Router(Cconfig[ std- | ext-nacl ] # )) 


Router(config) # ip access-list[ standard] extended ]name 


Router(config[ std- | ext-nacl ]) # [permit | deny] 测 试 向 命名 ACL 写 人 命令 语句 


条 件 
Router(config[ std-| ext-nacl ]) # no [permit | deny] | 删除 命令 ACL 中 的 某 一 条 语句 。 注 意 , 该 
测试 条 件 ACL 仍然 存在 ,这 与 用 数字 标识 的 ACL 不 同 


Router(config-if) # ip access-group name[inlout] | 绑 定 命名 ACL 


例 4-7 使 用 标准 命名 ACL. 
如 例 4-1 所 示 ,现在 改 为 使 用 命名 ACL 完成 任务 。 
(1) 创建 命名 ACL ,命令 如 下 : 


Router (config) # access- list standard ex19 
Router (config std- nscl)f£ permit 171.16.0.0 0.0.255.255 


(2) 将 ACL 绑 定 到 Eo 和 El 的 出 口 ,命令 如 下 : 


Router (config) # interface EO 
Router (config- if) # ip access- group ex19 out 
Router (config )# interface El 


Router (config- if) # ip access- group ex19 out 
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例 4-8 使 用 扩展 命名 ACL. 

如 例 4-5 所 示 ,现在 改 为 使 用 命令 ACL 完成 任务 。 
COD 创建 命名 ACL ,命令 如 下 : 

Router (config)#access- list standard ex17 


Router (config std- nacl)$ deny tcp 172.16.0.0 0.0.255.255 any eq 23 
Router (config std- nacl)$£ permit any any 


(2) 绑 定 ACL, 命 令 如 下 : 


Router (config)# interface el 
Router (config- if)# ip access- group ex17 in 


任务 43 设置 防火 墙 


任务 回顾 : 用 户 希 望 在 机 房 对 防火 墙 进行 初始 配置 后 ,通过 Web 方式 对 防火 墙 进行 
远程 配置 和 管理 。 对 于 硬件 防火 墙 ,以 锐 捷 的 产品 来 介绍 。 
所 需 设 备 为 RG-WALL 150 防火 墙 (1 台 )、 主 


机 (1 台 )、 直 连 线 (1 条 ) ,组 网 方式 如 图 4-10 所 示 。 D 

Console 

1. 登录 防火 墙 
192.168.1.0/24 
Eri titer tte tte tet tite tet teeter KK KK — 
om 
** RG- OS V1.0 http://www.red- giant.com.cn ** 二 
emm 

RG-Wall- 150 login: root 
Password: rg-walll23 图 4-10 防火 墙 拓扑 图 
/>si ! 进 入 系统 初始 化 设置 


RG-W ALL 默认 登入 的 提示 ,或 者 重新 设置 时 提示 的 内 容 如 图 4-11 所 示 。 

按 任意 键 进 入 默认 设置 阶段 。 第 一 步 , 系 统 将 提示 输入 序列 号 feature code 以 及 授 
BUS. 
CD 输入 序列 号 SW-xx-xxxxx。 请 按照 “产品 使 用 授权 书 ” 上 提供 的 信息 输入 序列 号 ， 
区 分 大 小 写 ; 序 列 号 以 SW-xx-xxxxx 和 SK-xx-xxxxx 的 格式 输入 。 如 图 4-12 所 示 。 

© 输入 feature code, feature code 是 设置 RG-W ALL 可 使 用 功能 的 编码 ,是 根据 与 
锐 捷 公司 签订 合同 提供 的 16 位 编码 而 定 的。 输入 feature code 后 ,出 现 如 图 4-13 所 示 授 
权 号 输入 提示 。 

C) 输入 授权 号 ,如 图 4-13 所 示 。 授 权 号 与 序列 号 和 feature code 相同 ,是 锐 捷 公司 
赋予 的 编号 。 授 权 号 输入 错误 ,将 不 能 继续 安装 。 

@ 产品 授权 号 输入 正确 后 ,将 出 现 如 图 4-14 所 示 的 画面 ,进入 下 一 步 设 置 阶段 ,请 
按 任意 键 继续 。 

112 


学 习 情 境 4 网 络 安全 配置 


è vpn - 超级 终端 
XO WAE SEW FUG 传送 (D BW 

Digg] el3| ala] < 

The installation course is composed of maximum 14 steps. 
Press any key to start the installation.. 


en a LE NE 
图 4-11 超级 终端 设置 


Eile Edit View Options Transfer Script Tools Window Help 
191:)03/&86Q/ 558m ew 


[STEP 1] S/N, Feature Code & License Key Setting 


Enter serial number (SH-00-00000) : SH-03-50159 
Enter Feature code(0000000000000000) : 


Serial: COM | T, 39 | 30 Rows, 107 Cols [VT100 


图 4-12 序列 号 设置 


2. 选 定 防火 墙 的 工作 模式 


防火 墙 的 工作 模式 有 路 由 模式 (Router mode) 和 网 桥 模式 (Bridge mode) 两 种 ,如 
图 4-15 所 示 。 按 Enter 键 将 选择 默认 的 路 由 模式 。 

注意 : 这 一 阶段 的 选择 决定 以 后 防火 墙 的 工作 模式 ,决定 RG-WALL 在 安装 网 络 中 
要 起 的 作用 。 本 节 将 说 明 防火 墙 在 路 由 模式 下 的 设置 方法 。 
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serial — SecureCRT 
Eile Edit View Options Transfer Script Tools Window Help 


PEKEN BAQ SeS GI? 


[STEP 1] S/N, Feature Code & License Key Setting 


Enter serial number (SH-00-00000): SH-03-50159 
Enter feature code(0000000000000000); 1111111111111000 


Enter license key (0000000100000 200000) 1 


Serial CONI | 8, Si [30 Rows, 107 Cols VTIOO 


图 4-13 输入 授权 号 


serial - SecureCRT 
Pile Edit View Options Transfer Script Tools Window Help 


ug SA Seog Rt leg 


[STEP 1] S/N. Feature Code & License Key Setting 


serial number (SW-00-00000); SH-03-50159 
Feature code (0000000000000000): 1111111111111000 
license Key (:0000-2000020000-30000"7200000) t SHEBF -qnhuU-GZLz0-u4q0t-qNBG4 


a key to continue, 
(C/c: Current step, Other: Next step): E 


Serial: COMI |13, 40 [30 Rows, 107 Cols ¥Ti00 


图 4-14 初始 界面 


Eile Edit View Options Transfer Script Tools Window Help 


EMEL ANK NE BAKAL 


[STEP 2] Firewall Mode Setting 


Select the Firevall node, 


[1] Router mode (Default) 
[2] Bridge mode 


Select one(Press ENTER to skip): 


Serial: comi (13, 34 (30 Rows, 107 Cols (VTIOO 


图 4-15 选 定 防 火 墙 工作 模式 


学 习 情境 4 网 络 安全 配置 
图 4-16 所 示 是 选择 路 由 模式 以 后 出 现 的 画面 。 在 选择 路 由 模式 后 ,进入 下 一 个 安装 
阶段 。 


DEKK JELKE KA NE BAKAL 


[STEP 2] Firewall Mode Setting 


[1] Router mode (Default) 
[2] Bridge mode 


Select one(Press ENTER to skip): 1 


Press a key to continue. 
(P/p: Previous step, C/c: Current step, Other: Next step): 


{x 
Serial: CoM |18, 60 [30 Rows, 107 Cols W100 | | - 


图 4-16 选择 路 由 模式 


在 图 4-16 画面 中 出 现 以 下 输入 提示 : 

CD 输入 P 或 p 时 ,将 取消 当前 设置 和 之 前 的 设置 ,返回 前 一 个 设置 阶段 。 

© 输入 C 或 c 时 ,将 取消 当前 设置 的 内 容 , 重 新 开始 当前 设置 作业 。 即 在 现 阶段 ,如 
果 想 重新 选择 系统 模式 ,输入 C 或 c。 

命令 键 不 区 分 大 小 写 ,通常 输入 小 写字 母 即 可 。 

C) 输入 任意 键 时 ,将 应 用 当前 设置 内 容 ,并 进入 下 一 个 设置 阶段 。 

本 阶段 的 “取消 ”以 及 “移动 ”方法 ,与 其 他 安装 步骤 相同 。 在 以 后 的 安装 过 程 中 ,我 们 
将 省 略 说 明 。 


3. 输入 管理 员 ID 和 密码 
完成 防火 墙 模式 设置 以 后 ,出现 管理 员 输 入 画面 ,如 图 4-717 所 示 。 


Eile Edit View Options Iransfer Script Tools Hindov Help 


dX 和 RQ BSS? 


[E 


[STEP 3] Adainistrator”s ID/Password Setting 


Enter adninistrator“s ID: MN 


h æu 


[Rendy Serial: Coat | 6, 27 |30 Rows, 107 Cols Wi00 | 


图 4-17 防火 墙 设置 (1) 
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CD 输入 要 启用 的 管理 员 ID 号 : admin。 这 里 的 管理 员 表示 带 有 停止 /启动 系统 、 授 
权 其 他 管理 员 权限 的 主要 系统 负责 人 员 账 号 ,admin 一 般 作为 管理 员 的 账号 。 

O 输入 管理 员 账 号 所 配套 的 密码 : admin123 ,如 图 4-18 所 示 。 管 理 员 密码 必须 是 英 
文 和 数字 的 混合 格式 ,而 且 必须 多 于 6 个 字 。 通 过 管理 员 GUI 输入 同样 的 密码 登录 超过 
20 次 以 上 时 ,系统 会 要 求 修 改 密码 。 


ons Transfer Script Tools Hindov Help 


s ID/Pesevord Setting 


Enter administrators ID: adain 


Password aust be combined vith letter and digit, and minimum length is 6. 
Enter password 


Serial: Com | 9, 1T [30 Rows, 107 Cels TI00 


图 4-18 防火 墙 设置 (2) 


© 确认 密码 : admin123 ,如 图 4-19 所 示 。 输 入 密码 以 后 ,为 了 确认 密码 是 否 匹 配 ,出 
现 重复 输入 密码 的 提示 。 两 次 密码 输入 完全 匹配 时 , 才 可 以 进行 下 一 步 操作 。 


Hile Edit View Options Transfer Script Tools Window Yelp 
adl VHQ SIS RI Om 


^s ID/Password Setting 


Password nust be conbined with letter end digit, and sinisum length 18 6. 


Enter password: 
Re-enter password: 


Press a key to conti 
(Pie: Previous step, C/c: Current step, Other: Next step): Ml 


* 
[Ready Serial: CUL 19, 60/30 Rows 107 Cols Mi00 | | A 


图 4-19 防火 墙 设 置 (3) 


4. 设置 系统 名 称 以 及 语言 


(D 输入 系统 名 称 : Host. firewall. com ,如 图 4-20 所 示 。 

© 选择 CLI Terminal 识别 的 语言 ,默认 值 是 中 文 ,如 图 4-21 所 示 。 输 入 “1” 并 按 
Enter 键 ,进入 下 一 个 阶段 。 
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cript Tools Window Help 


lewemxtiem 


\> 


[STEP 4] System Name and Language Setting 


Enter the system name(Default is "host.firewall .con") 
(Press ENTER to skip): 


Ready Serial: CoML | T, 24 | 30 Rows, 107 Cols [VT100 A 


图 4-20 防火 墙 系统 设置 


Eile Edit View Options Transfer Script Tools Window Help 
JDIH OQ 6SS RR! ea 


[STEP 4] System Name and Language Setting 


Enter the system name(Default is "host firewall .con") 
(Press ENTER to skip): 


Select the terminal language, 
[1] Chinese (Default) 
[2] English 

Select one(Press ENTER to skip): 


Serial: COM | 14, 34|26 Rows, 107 Cols VT100 | 


图 4-21 防火 墙 语言 设置 


5. 设置 时 间 


所 有 的 日 志和 报表 以 及 计划 任务 的 作业 都 会 根据 设置 的 时 间 来 形成 ,因此 必须 正确 
输入 当前 时 间 。 选 择 默认 [0], 如 图 4-22 所 示 . 确 认 后 进入 下 一 个 阶段 。 


6. 指定 管理 员 PC 的 IP 地 址 


配置 管理 员 PC 的 IP 地 址 为 192. 168. 1. 10, 192. 168. 1. 100。 
RG-WALL 提供 的 服务 包括 允许 向 特定 管理 员 IP 地 址 提供 SSHT TP. red-giantguid 
服务 。 想 利用 RG-WALL 的 GUI 以 及 CLI, 必 须 注册 管理 员 PC 的 IP 地 址 。 
管理 员 PC 的 IP 地 址 可 以 最 多 输入 10 个 ,并且 每 个 IP 地 址 之 间 用 逗号 和 空格 隔 开 。 
输入 管理 员 IP 地 址 后 进入 下 一 阶段 ,如 图 4-23 所 示 。 
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Eie Edit Options Transfer Script Tools Yindor Help 


DPIDSTeQ 6esaigasr ier 


* 
[STEP 51 Susten Time Setting 
Current Date and Time is 2004-04-12 12:04:33 KST 
C one to set a tine zone or tine, 
If all are configured, select number [01. 
[0] ALL done 
[1] Tine zone 
[2] Local system tine 
[3] Network tine(Using Network Tine Protocol) 
Select one: 
~ 
[Rendy Seid comi [17,13 [30 Rees, 107 Cols W100 


图 4-22 防火墙 时 间 设置 


Hile Edit View Options Transfer Script Tools Window Help 
AVIV veQq'auseuwxt!*vz 


ESTI 


Enter Administrators IP address(X.X.X.X-Y.Y.Y.¥-Z.Z.Z.Z/mask ... Maximum 30 entries) 
(Press ENTER to skip): 192.168.1.10 


Press a key to continue. 
(P/p: Previous step, C/c: Current step, Other: Next step): 


* 


Serial: COMI 12, 60 30 Rows, 107 Cols WTi00 | | 


图 4-23 输入 管理 员 PC 的 IP 地 址 


7. 网 络 接口 构成 


为 使 RG-WALL 的 网 络 连接 正常 ,必须 按照 计划 书 的 方案 分 配 各 接口 地 址 。 

显示 当前 接口 设置 以 及 选择 接口 的 画面 如 图 4-24 所 示 。 各 接口 的 区 域 分 配 可 以 修 
改 , 但 是 必须 设置 Internal 和 External, 并 且 启 用 HA 时 必须 设置 HA Link。 

正确 设置 所 有 接口 以 后 ,选择 [0] 进 入 下 一 阶段 。 输 入 要 修改 的 接口 号 ,以 修改 设置 。 

选择 需要 修改 的 接口 ,出 现 如 图 4-25 所 示 设 置 各 接口 内 容 的 画面 。 选 择 其 内 容 项 后 
输入 正确 的 值 。 

正确 输入 所 有 接口 内 容 后 选择 L0] ,继续 设置 其 他 接口 。 


8. 配置 VLAN 


DHA VLAN 设置 的 接口 号 ,开始 设置 VLAN ,如 图 4-26 Brzn 
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Eile Edit View Options Transfer Script Tools Window Help 


CEER JELKE Seales? |e 
A 

[STEP 7] Network Interface Setting 
Choose one to configure among these NICs. 
IF all are configured, select number [0]. 

[0] ALL done 

[1] etho Zone: DMZ MIU: 1500 Type: 100 Mbps 

IP: Mask: 

[2] ethi Zone: Internal MIU: 1500 Type: 65535 Mops 

(3) eth2 Type: 65535 Mops 

[4] eth3 Tupe: 65535 Mops 

[51 ethd Type: 65535 Mops 

[6] eth5 Type: 65535 Mops 

[71 eth6 Type: 65535 Mops 
Select one: FI 
Ready Serial: CON 24, 13 [30 Rows, 107 Cols VT100 


图 4-24 防火 墙 设置 (1) 一 一 选择 接口 


serial - SecureCRT 
Tie Edit View Options Transfer Script Tools Hindor Help 
ug voeQq'asedmxstieom 


[STEP 71 Network Interface Setting 


Choose one to configure anong these lists, 
IF all are configured, select number [0]. 
Selected NIC: ethó 


[0] ALL done 
[1] Zone: DMZ 

[2] IP Address: 192.168.1.1 
[3] Subnet Mask: 255.255.255.0 
[4] MTU: 1500 


Select one: 


13 [30 Rows, 107 Cels VTIOO 


图 4-25 防火 墙 设置 (2) 一 一 修改 接口 


Eile Edit Vie Options Transfer Script Tools Window Help 


dux VAQ SES SRI Os 


[STEP 8] VLAN Interface Setting 


Choose one to configure among these VLANs. 
If all are configured or uou don't need VLAN settings, select number [0]. 


[0] ALL done or skip 


[1] vlan0 Associated Interface: «none? Tag: 0 MTU: 0 
IP: Subnet Mask 
[2] vlani Associated Interface: «none? Tag: O MIU: 0 
IP: Subnet Mask 
[3] vlan2 Associated Interface: <none> Tag: 0 MIU: 0 
IP: Subnet. Mask 
[4] vlan3 Associated Interface: «none? Tag: O MIU: 0 
IP: Subnet Mask 
[5] vlan4 Associated Interface: «none? Tag: 0 MIU: 0 
IP: Subnet Mask 
[6] vlan5 Associated Interface: «none? Tag: O MIU: 0 
IP: Subnet Mask: 
Select one: ll 
[pasêr Serial: CUL | 22, 13/30 Rows, 107 Cols Ti00 


图 4-26 By Ada VLAN 配置 
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Q VLAN 设置 完成 后 选择 [0] ,进行 下 一 个 设置 阶段 。 

如 果 要 构成 VLAN 并 通过 802. 1q 方式 访问 ,必须 设置 各 VLAN 的 IP 地 址 以 及 子 
网 掩 码 和 MTU 信息 。RG-WALL 共 提 供 6 个 VLAN 接口 。 图 4-26 所 示 画 面 只 在 路 由 
模式 下 出 现 。 


9. 设置 静态 路 由 


如 果 计 划 在 路 由 模式 下 启用 OSPF. ,可 以 跳 过 这 一 阶段 ,进入 OSPF 设置 阶段 ,或 者 
以 后 通过 Web 方式 设置 。 设置 RG-WALL 外 部 网 的 默认 路 径 : Default Gateway, 如 
图 4-27 所 示 。 


[Ede ie ons Transfer Script Tools Window Help 
[agawa esecmxr: om 


[STEP 9] Routing Setting 


Choose one to sat a default gateuay or static route, 
TF all are configured, select number COJ. 


C0) ALL cone 
£1] Default gateway 
£21 Enter new route 
C3) View routing table 


Select one: 目 


m Seia Con (16, i [30 Aw OT Cels o [| 


图 4-27 防火 墙 路 由 配置 


10. 设置 OSPF 


在 路 由 模式 下 才 可 以 设置 OSPF。 如 果 没 有 必要 启用 OSPF ,选择 [0] 跳 过 ,如 网 4-28 
所 示 。 


THD MO EEY FUO WAD HDW 


Dls a31 mlal el 


ISTEP 101 OSPF Routing Setting 


Choose one to configure OSPF routing. 
If you don’t need OSPF configuration, select number [0]. 
If all are configured and you want to enable OSPF, select number [1]. 


IØ] Skip OSPF configuration and disable OSPF 
{11 All done and enable OSPF 

[2] View areas and network interfaces 

[3] Add and configure areas 

[4] Delete areas 

[5] Configure network interface 


Select one: 


ya Bowen: BOE pas [mm less E 
图 4-28 设置 OSPF 
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完成 所 有 OSPF 构成 以 后 ,选择 [1] 即 可 应 用 
要 构成 OSPF ,首先 设置 Area, 假 设 设置 Area 为 2。 当前 Area 以 及 接口 的 OSPF 信 
息 可 以 通过 选择 [2] 来 确认 。 


11. 设置 HA Zone 


架设 路 由 模式 下 高 层 可 用 结构 时 ,首先 要 确定 是 否 启用 虚 IP 地 址 、 配 置 什么 样 的 虚 
IP 地 址 ,以 及 是 否 使 用 四 层 交换 机 来 实现 高 层 同 步 模 式 。 

图 4-29 所 示 为 HA 构成 的 画面 ,在 此 输入 组 成 HA Zone 的 RG-WALL 组 名 ,默认 
值 为 Default。 


Dll sl3| cles) el 


[STEP 11] HA Zone & Mode Setting 


Enter the HA zone name(Default is "Default") 
(Press ENTER to skip): 


aia maw ponent Fo [ors NECS 
图 4-29 设置 HA Zone 


12. 设置 虚 IP 地 址 
图 4-30 所 示 是 设置 虚 IP 地 址 的 阶段 。 首 先 要 构成 VIG (Virtual Interface Group), 


-joj x! 
MD MAC) EEV FHC WAD MB 


Dls ol 3) cles) el 


ISTEP 12] Virtual IP addresses Setting 


Choose one to configure virtual IP addresses. 

If you don’t need virtual IP addresses, select number [0]. 

1f all are configured and you want to enable virtual IP addresses, 
select number [1]. 


[0] Skip 

1] ALL dene and enable virtual IP addresses 

[2] View VIGs and virtual IP addresses configured 
[3] Add and configure VIGs 

[4] Delete VIGs 


Select one: 


[mpm Poem pao [ors [wa MET 
图 4-30 设置 虚 IP 地 址 
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选择 [2], 可 以 确认 当前 的 VIG, 以 及 各 接口 的 虚 IP 地 址 信息 。 
13. 设置 DNS 
设置 DNS 输入 域名 ,然后 按 Enter 键 ,进入 下 一 阶段 ,如 图 4-31 所 示 。 


[STEP 13] DNS Setting 


Enter your domain name(Press ENTER to skip): 


图 4-31 设置 DNS 


14. 选择 基本 规则 


最 后 一 个 阶段 是 设置 初始 规则 ,如 图 4-32 所 示 。 选 择 需 要 的 基本 规则 即 可 ,然后 通 
过 GUI 进一步 设置 。 


Dila] 到 3| a5] 可 


[STEP 14] Basic Rule Setting 


These are recommanded typical start-up rules. 
Default is denying every packet except for the administrator's channels. 


Deny every packets(Default) 
INT->EXT INT<-EXT INT->DMZ INT«-DM2 DMZ->EXT DMZ«-EMT PAT 
Allow Deny Allow Deny Deny Deny No 


图 4-32 选择 基本 规则 
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15. 应 用 系统 设置 


基本 安装 设置 完成 后 ,出 现 如 图 4-33 所 示 的 安装 完毕 画面 。 按 任意 键 重新 启动 系 
统 , 应 用 当前 设置 。 


RO) EE EV AO WED WES 


a 
The install information was successfully saved. 
NOTICE! n 
This system must be rebooted before login! 
Press any key to reboot: _ 
EE 
4 


图 4-33 应 用 系统 设置 


重新 启动 后 出 现 如 图 4-34 所 示 夯 面 ,出 现 RG-WALL 的 登录 提示 符 。 登 人 RG- 
WALL 系统 后 ,将 出 现 如 图 4-35 所 示 CLI 基本 菜单 。 


ons Transfer Seript Tools Hindov Help 


aug veQq'asegmxt*evim 


Ready Serial: Gomi | 6, 13 [26 Rows, 107 Cels TI00 


图 4-34 登录 设置 (1) 


继续 通过 CLI 执行 操作 ,可 以 选择 [2] 或 者 [3]。CLI 的 详细 说 明 请 参考 管理 员 
手册 。 


16. 重新 安装 
RG-WALL 的 重新 安装 提供 了 路 由 模式 设置 和 网 桥 模式 设置 中 的 所 有 项 。 
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Eile Edit View Options Transfer Script Tools Window Help 


Choose the menu you want. 


[1] MONITORING MODE 
[2] CONFIGURATION MODE 
C3) ENHANCED MODE 


£991 LOGOUT 


Serial: COL (15, 9 [26 Rows, 107 Cols vti00 


图 4-35 登录 设置 (2) 


在 CLI 主 菜单 中 选择 [3], 进 入 CLI AY ENHANCED MODE, 可 以 重新 设置 RG-WALL ， 
如 图 4-36 所 示 。 在 出 现 的 CLI ENHANCED MODE 画面 中 ,在 CLI 命令 提示 符 后 输入 
“reinstall”, 重 新 设置 系统 。 


File Edit View Options Transfer Script Tools Window Help 


ip taq ge St os 


Welcome to RG-WALL 250 (host.Firewall.com). CLI Version V4,1(04,02), * 
THIS IS THE MAIN MENU, 
Choose the menu you want. 


[1] MONITORING MODE 
[2] CONFIGURATION MODE 
[3] ENHRNCED MODE 


[Rendy Serial: Com [15, 8 | 26 Rows, 107 Cols VT100 


图 4-36 重新 设置 系统 


17. GUI 安装 


RG-WALL 的 GUI 通过 Java 技术 实现 ,因此 兼 具 客户 端 软 件 管理 方式 和 Web 浏览 
器 管理 方式 的 优点 。 它 支持 多 种 语言 与 管理 工作 站 的 操作 系统 无 关 。 

为 了 运行 Java 类 程序 ,管理 员工 作 站 需要 具备 SUN 公司 的 免费 软件 Java Runtime 
Environment (JRE)。 在 管理 员工 作 站 上 启动 Web 浏览 器 后 ,在 地 址 栏 中 输入 RG- 
WALL Internal 接口 的 IP 地 址 ,出 现 图 4-37 所 示 的 初始 界面 。RG-WALL Desktop 画面 
如 图 4-38 所 示 。 


18. 确认 安装 是 否 正 常 
进入 RG-WALL CLI 模 式 并 输入 以 下 命令 : 
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[admin:E:W] RG-WALL>ping" 与 各 接口 连接 的 对 方 设备 IP 地 址 " 
连接 防火 墙 的 网 络 设备 经 过 ping 测试 连通 性 成 功 以 后 ,可 以 再 ping 测试 管理 员 
PC、DMZ 内 部 的 主要 服务 器 以 及 外 网 常用 的 TP 地 址 。 


DB RG-WALL 150 Manager — Microsoft Internet Explorer 


文件 四 RAD HO KRA IAV EVU 
Oa: O HAG Pa kra qs O2 Sm UM 
可 


地 址 四) (Æ) neep: //192. 168. 1. 1/Login, htnl 


C RG-WAL TEI 50) 


用 Po [— — 
Password [2] JE (er 


加 使 用 SSL 连 接 


Dee 


语言 [Chinese =) 


图 4-37 RG-WALL 初始 界面 


系统 策略 VPN 代理 ONS NAT IDS BENE 产品 信息 


|lhnammueumceddsn$eb*umneHdamanmAmmeamsoSosdasa 


任务 44 建立 外 部 安全 数据 通道 一 VPN 


情境 回顾 : 公司 在 全 国 各 地 都 有 办 事 机 构 ,需要 访问 公司 内 部 的 服务 器 资源 ,而 这 些 
服务 器 资源 出 于 安全 性 考虑 不 直接 在 公 网 上 开放 ,因此 必须 建立 VPN 隧道 ,再 获得 访问 
内 部 资源 的 权利 。 下 面 以 锐 捷 产品 为 例 来 介绍 。 

任务 所 需要 的 设备 如 表 4-8 所 示 , 网 络 拓 扑 如 图 4-39 所 示 。 
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表 4-8 ”建立 VPN 模型 所 需 设 备 


设备 型 号 数 量 备 注 
锐 捷 VPN 设备 RG-WALL 150 16 
锐 捷 VPN 远程 接 人 系统 RG-SRA 1# 软件 程序 
锐 捷 路 由 器 设备 16 
Windows 系统 的 PC 机 推荐 Win XP 系统 1 台 
Windows 系统 的 服务 器 16 oo 
HER 2 根 
交叉 线 1 根 
= F0/0 F0/1 - | 
EI ethl eth0 E m 
服务 器 VPN 设 备 A 路 由 器 PC 


图 4-39 简单 VPN 网 络 拓扑 图 


1. 准备 好 PC 机 和 服务 器 
实际 操作 中 既 可 以 通过 PC 机 来 管理 VPN 设备 A, 也 可 以 通过 服务 器 来 管理 VPN 
设备 A, 请 自行 选择 。 
假设 决定 用 服务 器 来 管理 VPN 设备 A, 则 在 服务 器 上 安装 VPN 管理 软件 (VPN 设 


备 随机 光盘 ) 。 


在 PC 机 上 安装 RG-SRA 软件 程序 ,安装 步骤 请 看 随机 附带 的 光盘 ,这 里 不 再 详 述 。 
注意 : RG-SRA 是 VPN 客户 端 软件 程序 ,如 果 PC 机 上 已 预 装 其 他 厂家 的 VPN Æ 
户 端 程序 ,请 先 印 载 , 否 则 RG-SRA 可 能 无 法 正常 工作 。 
RG-SRA 作为 安全 产品 ,安装 后 对 系统 的 网 卡 、 端 口 、 协 议 等 方面 有 改动 ,会 和 部 分 
防火 墙 或 者 防 病毒 程序 不 兼容 。 经 过 测试 .已 知 和 市 场 主流 的 杀毒 软件 .防火 墙 兼 容 的 有 
瑞星 、 天 网 ,Symantec、 微 软 等 产品 ,已 知 的 不 兼容 的 软件 有 卡巴 司 基 、Sygate。 因 此 建议 
用 于 测试 的 PC 机 印 载 这 两 个 程序 。 推 荐 用 户 使 用 没有 安装 任何 第 三 方 防火 墙 . 防 病毒 
程序 的 机 器 来 进行 操作 。 


2. 搭建 拓扑 


配置 PC 机、 服务 器 、VPN 设备 A、 路 由 器 的 IP 地 址 及 必要 路 由 。 示 例如 下 : 
VPN 设备 A 的 ethl 口 地 址 : 192. 168. 2. 1 
VPN 设备 A 的 ethO 口 地 址 : 10.1.1.1 
PC 机 的 IP 地 址 : 10.1.2.1 

PC 机 的 网 关 地 址 : 10. 1. 2.2 

服务 器 的 IP 地 址 : 192. 168. 2. 2 
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注意 : PC 机 及 路 由 器 的 详细 配置 省 略 ,请 参考 相关 操作 手册 。 
RG-WALL 150 设备 接口 标识 为 “WAN” 口 ,对 应 系统 内 部 显示 为 “eth1” 的 接口 ; 接 


口 标 识 为 “LAN” 口 ,对 应 系统 内 部 显 


示 为 “eth0” 的 接口 。 


VPN 设备 A 接口 及 默认 路 由 配置 如 下 : 
(1) 通过 服务 器 的 超级 终端 ,在 命令 行 下 配置 VPN 设备 A 的 ethl 口 地 址 ,如 图 4-40 


所 示 。 


图 4-40 配置 VPN 设备 A 的 ethl 地 址 


注意 ; 锐 捷 VPN 出 厂 时 ,ethl 口 默认 地 址 为 192. 168. 1. 1。 
(2) 通过 服务 器 上 的 VPN 管理 软件 登录 VPN 设备 A, 然 后 配置 eth0 口 地 址 ,如 
图 4-41 所 示 。 设 置 eth0 口 地 址 的 界面 如 图 4-42 所 示 。 


系统 加 设备 管理 时 ) 设备 升级 QD u mop 


3292252 
mL sane janan 


= À Pare 
Sh Eman 
um Ramo 


à 3 
eme BARO 


LI m 
+ 马路 由 设置 
spores 
EN NS 设置 
© mses 
9 nenga 
Lek Jai 
© mes 
Wg vores 
局 Rane 
+ dà Hw 
Gomes 


wun etii 


直接 双击 eth0 
接口 图 标 


P FRIR 


同 络 接口 状态 


s P APU 


验证 测试 : 


EI Kawa GE 


4-41 配置 eth0 地 址 


(D VPN 设备 A 可 以 Ping 通路 由 器 的 F0/0 D; 
© PC 机 可 以 Ping 通路 由 器 的 F0/1 HO; 
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= a [eee | soem | 子 接口 | 


CIRE 


C 自动 获得 IF 地 址 


-6 paka 
IP Hk: 


kisah 
外 出 网 关 : 


BUERE 


25 . 255. 25. 0 


10:2 32 1. 2 


默认 路 由 直接 在 


外 出 接口 处 配置 
C PPPOE: 


C fA Fin 
MRE: poo (17255, MEMANEN) 


图 4-42 设置 eth0 地 址 


© PC 机 可 以 Ping ii VPN 设备 A 的 eth0 口 ; 
CD 服务 器 可 以 Ping i VPN 设备 A AY ethl A. 


3. 配置 IPSec VPN 隧道 
(1) 在 VPN 设备 A 上 进行 IPSec VPN 隧道 配置 。 


O 进入 远程 移动 用 户 VPN 隧道 配置 的 界面 ,登录 VPN 设备 A 的 管理 界面 ,选择 进 
入 “远程 用 户 管理 ”界面 ,如 图 4-43 所 示 。 


Wasan ”系统 信息 | rama | 访问 规则 ERRES] mara | 


s A Rare È 


HMAF MUSES MAES (QUIÉN) FABOR Sci APE STRANA 


s RONE 
= By HORA 
5 Ba IPsec ws 


图 4-43 “远程 用 户 管理 ?界面 


Q 配置 “允许 访问 子 网 ”, 如 图 4-44 所 示 。 

@ 配置 “本 地 用 户 数据 库 ”, 如 图 4-45 一 图 4-48 所 示 。 

HEB: 添加 完 用 户 后 一 定 要 单 击 “ 用 户 生效 ”按钮 ,否则 新 添加 的 用 户 不 可 用 。 
@ 配置 “ 虚 IP 地 址 池 ”, 如 图 4-49 所 示 。 
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系统 信息 | RAED | 访问 规则 NGAKEN kanea | 


s 9 9 5 sg RF 


允许 访问 子 ”内 部 RS 服务 AAR 。 认证 参数 HAPS Sihi APRI 
网 器 务 器 BE 表 


允许 访问 子 网 


远程 用 户 登录 成 功 后 ,允许 访问 的 内 部 子 网 资源 。 


图 4-44 ”配置 “允许 访问 子 网 ” 


系统 信息 | 本 地 用 户 数据 库 NGAPUSI 


s 3 9 & Y B ÉE 


RAF ASH ARTER 认证 参数 sm Erbia mPp Sng 


图 4-45 配置 本 地 用 户 数据 库 (1) 


Rum 有 地 用 户 数 据 达 运程 用 户 管理 | 
E i m E 
用 户 生效 mam 导入 用 户 列表 。 导出 用 户 列表 
[RS | 用 户 权 限 OO O ame] 
EUR PRE 
OTP 认 证 和 PAF 认 证 所 用 的 用 户 数据 库 . 
a 一 | 
PSM: [fet TT 
aeos: few 
确认 口令 Q): Peer 
[用 户 机 限 
C APER 
个 REAPER 
确定 | | 取消 


图 4-46 配置 本 地 用 户 数据 库 (2) 
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系统 信息 PRP) iege | 
B n x n m G 
用 户 生效 添加 用 户 BRP SSAP SAMPAR 。 导出 用 户 列表 
-用 户 权限 | PS POS | WWE 
1 SEAP test wee f BOE 
图 4-47 配置 本 地 用 户 数据 库 (3) 
Reha UEHUBPUNEE] TAPES | 
p, a X D B n 
用 户 生效 SMAP BRP SEEP SAMPAR 。 导出 用 户 列表 
[APSR APS | MPOS | WWE 
1 SP test m J AA 


图 4-48 普遍 用 户 设置 生效 


系统 信息 | 本 地 用 户 数据 库 DESAIN] 


a B 


irg? ARES ARER 认证 参数 kak a 虚 IP 地 址 池 Rr Sng 


FHRA | 本 地 用 户 数据 库 | 远程 用 户 管理 NGANAN 
[an 

B à wc B 

添加 WR o Ae 

FRE QD = 
连续 地 址 名 ) 


地 址 类 型 


T 对 虚 TP 分 配 表 之 外 的 用 户 不 自动 分 配 虚 IP 


à B B 8 
su neo 


图 4-49 Hg IP Jib nh 


注意 : 分 配 PC 机 的 虚拟 IP 地 址 , 既 可 以 是 定义 一 个 地 址 池 , 由 VPN 设备 自动 分 配 ; 
也 可 以 是 管理 员 一 个 IP 地 址 对 应 一 个 用 户 地 分 配 。 在 这 里 选择 地 址 池 方 式 ,由 系统 自动 


分 配 , 并 且 选 择 定义 “ 子 网 地 址 ”的 地 址 池 。 
虚拟 IP 地 址 是 网 络 管理 员 分 配给 远程 移动 用 户 的 ,表示 只 有 拥有 该 地 址 的 PC 机 才 
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能 获得 局 域 网 内 部 的 访问 权限 。 因 此 ,管理 员 设置 的 虚拟 IP 地 址 一 定 不 要 与 远程 PC 的 
IP 地 址 以 及 局 域 网 内 部 的 IP 地 址 相 冲 突 , 和 否则 远程 PC 在 和 VPN 设备 建立 隧道 后 , 因 地 
址 冲突 的 问题 ,将 无 法 访问 局 域 网 内 部 的 服务 器 。 本 项 目 中 的 虚拟 IP 地 址 池 选 择 定义 一 
个 完全 没有 使 用 的 网 段 ,如 图 4-50 和 图 4-51 所 示 。 


系统 信息 | 本 地 用 户 数 据 库 | RAP SS ETARE 


虚 IF 地 址 池 

a x =D I1 

mm 删除 编辑 = 

| 地 址 一 [地 址 二 地 址 类 型 I 
TPhàgo[12 .1 .1 . 0 


图 4-50 虚 IP 分 配 设置 


系统 信息 | 本地 用 户 数据 库 | japan [ETARE] 
ginbib 


172, 16.1.0 255. 255. 255.0 子 网 地 址 


图 4-51 虚 IP 分 配 成 功 


© 配置 “用 户 特 征 码 表 ”, 如 图 4-52 和 图 4-53 所 示 。 


系统 信息 | SAPS IPSS 


£ 9g 9g & s BISS 
RAF ABIRE ARR 认证 参数 Tum 虚 IP 地 址 池 a asl MP 


图 4-52 用 户 特征 码 表 


“用 户 特征 码 表 ” 是 为 了 将 远程 PC 的 硬件 和 分 配给 用 户 的 身份 信息 绑 定 而 设计 的 。 
选择 了 ”人 允许 接 人 并 自动 绑 定 ” 功 能 ,VPN 设备 会 将 远程 用 户 的 PC 硬件 特征 码 与 该 用 户 
的 身份 认证 信息 相 绑 定 。 绑 定 后 ,该 用 户 将 无 法 用 自己 的 身份 信息 再 在 其 他 PC 设备 上 
建立 VPN 隧道 。 

本 项 目 操作 中 既 可 以 选择 “允许 接 人 ”, 也 可 以 选择 “允许 接 人 并 自动 绑 定 ”。 系 统 默 
认 配 置 是 “禁止 接 人 ”。 图 4-53 中 选择 的 是 “允许 接 入 ”, 表 示 该 用 户 的 身份 信息 不 会 和 其 
使 用 的 PC 硬件 绑 定 。 
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系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 ANGEN 


a hs sD B m n [b] 

添加 WES 编辑 清空 导入 导出 刷新 
「 不 在 表 中 的 用 户 接 入 策略 

C 禁止 接 入 C 允许 接 入 C 允许 接 入 并 自动 绑 定 
ES T APZ T F NE 


图 4-53 ”用户 特征 码 绑 定 表 


对 于 “远程 用 户 管理 ”界面 的 其 他 配置 项 ,例如 “内 部 DNS 服务 器 "“ 内 部 WINS 服 
务 器 ”“ 认 证 参数 ”, 用 户 可 以 根据 实际 需要 选择 设置 。 

(2) 在 PC 机 上 运行 RG-SRA 程序 ,开始 建立 VPN 隧道 。 

O 第 一 次 运行 RG-SRA 程序 后 出 现 ,如 图 4-54 所 示 的 界面 。 


ERO TAD ASG) WHW 


图 4-54 SRA 界面 


Q 建立 一 个 与 VPN 设备 A 的 隧道 连接 。 单 击 “ 新 建 连接 ”按钮 ,出 现 如 图 4-55 所 示 
界面 ;填写 基本 信息 ,如 图 4-56 所 示 ; 单 击 “ 确 定 ” 按 钮 ,如 图 4-57 所 示 。 

© 运行 该 隧道 连接 ,建立 VPN 隧道 ,如 图 4-58 所 示 。 输 入 身份 认证 所 必需 的 账号 ， 
即 在 VPN 设备 A 上 添加 的 用 户 , 如 图 4-59 所 示 。 单 击 “ 连 接 ” 按 钮 后 ,系统 自动 进行 身 
份 认证 ,并 且 开 始 IKE 的 协商 ,如 图 4-60 所 示 。 
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hir: 291] 


ERO IAV Hég hoo 


连接 标识 : 
服务 器 地 址 ; 


认证 方式 ， Radius 第 三 方 认证 EZ 
口 在 桌面 上 创建 快捷 方式 
口 开 机 时 自动 启动 本 连接 


Cm J( jJ 


图 4-55 VPN 配置 


RO IAV HEH Wi» 


aro) sy 可 以 随意 定义 
填写 VPN 设备 A 
的 eth0 口 地 址 


io. 1.1.1 


[RediusB=AUE — s] 


一 该 实验 我 们 选择 的 
是 网 关 本 地 认证 


图 4-56 VPNA 隧道 配置 (1) 


锐 健 安全 运程 接 入 系统 


ERO IAM BSG) 800 


图 4-57 VPNA 隧道 配置 (2) 
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i 锐 捷 安 全 远程 接 入 系统 
ERO IAW EG) Hho 


PII 
= 
Em 
meum EUN 


|. OBERE CD 


ERAR: 
与 YPNA 的 隧道 

服务 器 地 址 : 
10.1.1.1 

认证 方式 : 

网 关 本 地 认证 


图 4-58 VPNA 隧道 配置 (3) 


连接 VPN 


bin 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


RP) [test 


s wp [eee 
v] fers) 


ERO 取消 [ seo | 


图 4-59 VPN 连接 设置 


锐 捷 安 全 远程 接 入 系统 
EO TAD BEW Bho 


欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
连接 名 称 : - 
SVENA 认证 登录 成 功 开始 设置 系统 配置 
服务 器 地 址 ， 
10. 1.1.1 
认证 方式 : 


图 4-60 VPN 连接 过 程 
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完成 身份 认证 和 隧道 建立 的 操作 后 ,RG-SRA 程序 会 自动 缩小 图 标 显 示 在 屏幕 的 右 
下 角 , 如 图 4-61 所 示 。 

验证 测试 : 

O fidi RG-SRA 图 标 ,在 弹出 的 快捷 菜单 中 选择 “详细 配置 "命令 ,可 以 查看 到 隧道 
信息 ,如 图 4-62 和 图 4-63 所 示 。 


im 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
eee ee 


日 — 
图 4-61 VPN 连接 成 功 网 关 保护 子 网 0 (182. 168. 2. 077192. 168. 2. 255) (可 访问 ) 


资源 信息 
地 址 类 型 自动 配置 
虚拟 IP 地 址 ;1721611 
DNS 服务 器 : 
WINS 服 务 器 : 


图 4-63 VPN 配置 详细 信息 


© 在 VPN 设备 A 的 管理 界面 也 可 看 到 已 经 建立 成 功 的 隧道 信息 。 隧 道 启 动 后 ,可 
以 在 “隧道 协商 状态 ”栏目 下 看 到 隧道 的 协商 状态 ,“ 隧 道 状态 ” 
显示 “第 二 阶段 协商 成 功 ”, 如 图 4-64 和 图 4-65 所 示 。 


4. 进行 隧道 通信 


从 PC 机 访问 服务 器 提供 的 服务 ,服务 应 该 成 功 ;或 者 先 
在 PC 机 上 Ping 一 下 服务 器 的 IP 地 址 ,应 该 能 够 Ping 通 ( 没 
有 VPN 隧道 前 ,不 会 Ping 通 的 ) 。 

VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ， 图 4-64 隧道 协商 状态 (1) 
如 图 4-66 所 示 。 


> Sy SUR 


序号 bi 
E 对 方 设备 名 称 : ROCAS eth0 0105 


1 [ocAS_ethn_0105_4] 第 二 阶段 协商 成 功 10.111 0.1.2.1 [sz 168.2.0724 [2161172 | 
| | 


隧道 名 称 是 系统 
自动 定义 的 


图 4-65 隧道 协商 状态 (2) 
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= E ER = IE. menu 
m 192, 168,2, 0726 [473 “ o so 


图 4-66 隧道 通信 
规律 总 结 (检查 ) 
ACL 访问 控制 列表 的 网 络 拖 码 是 反 拖 码 。 标 准 控制 列表 要 应 用 在 尽量 靠近 目的 地 
址 的 端口 上 。 


在 配置 防火 墙 的 初始 配置 中 ,关键 是 要 设置 管理 员 ID 密码 和 TP 地 址 ,并 设置 至 少 
一 个 接口 的 TP 地 址 ,其 余 配置 可 以 在 进入 Web 配置 界面 后 设置 。 

VPN 配置 IP 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1. 0 这 个 网 段 的 ,因为 某 些 功能 
实现 的 需要 ,VPN 系统 内 部 已 占用 该 网 段 的 部 分 IP 地 址 。VPN 设备 的 防火 墙 规则 为 全 
部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 VPN 设备 直接 连接 Internet 网 络 , 则 一 定 需要 启 
用 防火 墙 规则 。 


拓展 提高 (拓展 ) 


802. 1 认证 


鉴于 公司 网 络 安全 管理 的 需要 ,需要 对 接 人 公司 网 络 的 用 户 进行 必要 的 身份 控制 ZS 
司 决定 部 署 基于 IEEE 802. 1x 与 RADIUS 协议 的 认证 管理 系统 。 

任务 所 需 设 备 : RG-S2126G 一 台 ;PC 机 一 台 , 用 于 配置 交换 机 的 终端 。 网 络 拓扑 如 
图 4-67 所 示 。 

操作 过 程 如 下 : 

第 一 步 : 查看 交换 机 的 版 本 信息 。 
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RG-SAM Server 
PCI RG-S2126G 
192.168.0.44/24 — 192.168.0.2/24 192.168.0.185/24 


m cuiii 


图 4-67 802.1 认证 拓扑 图 


Switch> show Version 

System description : Red- Giant Gigabit Intelligent Switch(S2126G) By Ruijie Network 
System uptime : Od:0h:8m:40s 

System hardware version : 3.3 

System software version : 1.5(1) Build Mar 3 2005 Temp 


System BOOT version : RG- S2126G- BOOT 03- 02- 02 
System CTRL version : RG- S2126G- CTRL 03- 05- 02 
Running Switching Image : Layer2 

Switch» 


第 二 步 : 初始 化 交换 机 配置 。 
所 有 的 交换 机 在 配置 以 前 ,必须 先 初始 化 ,清除 原 有 的 一 切 配置 ,命令 如 下 : 


Switch> 

Switch> enable 

Switch# delete flash:config.text ! 删 除 配置 
Switch# reload 

Switch# configure terminal ! 进 入 配置 层 
Switch (config) # 


验证 测试 : 使 用 命令 show running-config 查看 配置 信息 ,删除 原始 配置 信息 后 ,该 命 
令 的 打印 结果 如 下 : 


Switch# show running- config 
Building configuration... 
Current configuration: 318 bytes 
d 

version 1.0 

1 

hostname Switch 

vlan 1 

H 

end 

Switch# 


第 三 步 : 进行 具体 任务 配置 。 


Switch# configure terminal 

Enter configuration commands，one per line. End with CNTL/Z. 

Switch (config)# ip default-gateway 192.168.0.1 ! 设 置 交换 机 默认 网 关 , 实 现 跨 网 段 管理 交换 机 
Switch (config) # interface vlan 1 

Switch (config- if) # ip address 192.168.0.2 255.255.255.0 
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Switch (config) # exit 
Switch (config) # enable secret level 1 5 star 
Switch (config) # enable secret level 15 5 star 
Switch (config) # radius- server host 192.168.0.185 auth- port 1812 
HAE RADIUS 服务 器 的 地 址 及 UDP 认证 端口 
Switch (config)# aaa accounting server 192.168.0.185 ! 指 定 记 账 服务 器 的 地 址 


Switch (config)#aaa accounting acc- port 1813 ! 指 定 记 账 服务 器 的 UDP 端口 

Switch (config) #aaa authentication dotlx ! 开 启 BAA SURE AY 802. 1x 认证 功能 
Switch (config)# aaa accounting ! 开 启 RAR 功能 中 的 记 账 功能 

Switch (config) # radius- server key star rix ft RADIUS 服务 器 认证 字 


Switch (config) # snmp- server community public rw 

! 为 通过 简单 网 络 管理 协议 访问 交换 机 设置 认证 名 (public 为 默认 认证 名 ) 并 分 配 刘 
从 中 将 在 4 号 接口 启动 802.1x 的 认证 
Switch (config- if)#dotlx port- control auto ! 设 置 该 接口 参与 802.1x 认证 


权限 


Switch (config)# interface fastEthernet 0/4 


Switch (config- if)#exit 
Switch (config) # exit 
Switch# write 

Building configuration... 
[OK] 

Switch# 


验证 测试 : 将 两 台 PC( 使 用 192. 168. 0. 0/24 网 段 的 地 址 ,客户 端 PC 使 用 地 址 192. 
168. 0. 44/24, 服 务 器 使 用 地 址 192. 168. 0. 185/24) 连 接 到 交换 机 除 4 号 端口 外 的 其 他 任 
两 个 端口 上 ,在 任何 一 个 PC 上 进行 连通 性 测试 (ping)。 在 客户 端 上 使 用 命令 “ping 
192. 168. 0.185” 能 够 ping 通 。 命 令 执行 结果 如 图 4-68 所 示 


可 
1 Microsoft Corp. 


Documents and Settings \Administrator>ping 192. 


vith 32 bytes of data 


timed out. 
timed out 
timed out. 
timed out 


tistics for 1 
ets: Sent = 4, 


s and Settings Administrator? 


图 4-68 ping 测试 结果 (一 ) 


将 客户 端 PC 或 服务 器 PC 接 到 4 号 端口 ,在 其 中 的 一 台 PC 上 ping 另 一 台 PC, 则 不 
能 够 ping 通 。 命 令 结果 如 图 4-69 所 示 。 
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加 


js Adminis ping 192.168.0.186 


4 (108% loss), 


图 4-69 ping 测试 结果 (二 ) 


思考 训练 (评估 ) 
1. 思考 与 提高 


(1) 什么 是 网 络 安全 ? 
(2) 什么 是 802. 1 认证 ? 
(3) 什么 ACL 访问 控制 列表 ? 
(4) 什么 是 防火 墙 ? 

(5) 什么 是 VPN? 


2. 实 训 


(1) 构建 相应 的 网 络 环境 ,配置 802. 1 认证 

(2) 标准 ACL 配置 与 调试 。 设 计 标 准 ACL ,首先 使 得 PCI 所 在 的 网 络 不 能 通过 路 
由 器 R1 访问 PC2 所 在 的 网 络 ,然后 使 得 PC2 所 在 的 网 络 不 能 通过 路 由 器 R2 访问 PCI 
所 在 的 网 络 。 网 络 拓扑 如 图 4-70 所 示 


RL R2_ 
sap 50/0 s0/0 ZS 
fa0/0 fa0/0 
Lc. ay 
guy si tum s2 
PCI PC2 


图 4-70 ACL 网 络 拓扑 结构 


(3) 构建 相应 的 网 络 环境 ,配置 VPN 网 络 。 
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任务 情境 (资讯 ) 


随 着 市 场 的 发 展 , 无 线 网 络 占据 了 越 来 越 大 的 份额 ,ThreeFour Software 软件 公司 也 
在 业务 发 展 的 过 程 中 感受 到 无 线 网 络 的 重要 性 。 

小 王 是 网 管 员 ,一 天 ,公司 的 同事 打 来 电话 ,要 给 客户 共享 一 个 资料 ,现场 没有 交换 
机 , 且 同 事 与 客户 均 没有 移动 存储 设备 ,同事 携带 一 条 网 线 , 但 与 客户 的 网 卡 均 不 支持 网 
线 自 适应 功能 。 小 王 了 解 到 ,同事 与 客户 各 有 一 块 无 线 网 卡 , 所 以 他 指导 同事 用 两 块 无 线 
网 卡 进行 联络 ,完成 资料 共享 。 

后 来 客户 提出 需求 ,要 进行 网 络 部 署 ,但 不 巧 的 是 ,该 客户 的 办 公 地 点 是 一 栋 比 较 旧 
的 建筑 ,不 适合 进行 有 线 网 络 的 部 署 。 为 了 使 客户 能 够 正常 通信 并 且 实 现 资源 共享 ,小 王 
建议 他 使 用 RG-WG54P 架设 无 线 局 域 网 。 

由 于 业务 拓展 ,在 离 公司 总 部 不 远 的 地 方 开 设 了 一 家 门市 ,门市 的 员工 要 和 总 部 通 
信 。 由 于 网 络 布线 有 困难 ,公司 决定 采用 无 线 技术 让 门市 的 员工 接 入 , 接 入 时 采用 
802. 1x 用 户 身 份 验证 ,并 用 WAPI 和 SSID 加 密 , 防 止 别 的 无 线 用 户 接 入 公司 网 络 。 

下 面 以 锐 捷 公司 的 产品 为 例 来 完成 任务 。 


任务 分 析 ( 决 策 ) 


上 述 情境 遇 到 3 个 核心 问题 , 即 构建 自 组 网 模式 无 线 网 络 、 构 建 基础 结构 模式 无 线 网 
络 和 无 线 网 络 隐 秘技 术 。 下 面 先 讨论 基础 理论 。 


1. 无 线 网 络 


所 谓 无 线 网 络 , 就 是 利用 无 线 电波 作为 信息 传输 的 媒介 构成 的 无 线 局 域 网 
CWLAN) , 它 与 有 线 网 络 的 用 途 十 分 类 似 , 最 大 的 不 同 在 于 传输 媒介 不 同 ,用 无 线 电 技术 
取代 网 线 , 可 以 和 有 线 网 络 互 为 备份 。 

目前 主流 应 用 的 无 线 网 络 分 为 GPRS 手机 无 线 网 络 上 网 和 无 线 局 域 网 两 种 方式 。 
应 该 说 ,GPRS 手机 上 网 方式 是 目前 真正 意义 上 的 无 线 网 络 , 它 是 一 种 借助 移动 电话 网 络 
KA Internet 的 无 线 上 网 方式 ,只 要 用 户 所 在 城市 开通 了 GPRS 业务 ,用 户 在 任何 一 个 角 
落 都 可 以 通过 笔记 本 电脑 上 网 。 不 过 ,由 于 目前 GPRS 上 网 资费 高 ,速率 较 慢 (最 快 仅 相 
当 于 56Kbps Modem) ,所 以 用 户 群 很 小 。 本 节 不 将 这 种 无 线 上 网 方式 作为 重点 , 仅 围 绕 
无 线 局 域 网 方式 来 展开 讨论 。 
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首先 说 ,无 线 网 络 并 不 是 神秘 之 物 , 它 是 相对 于 目前 普遍 使 用 的 有 线 网 络 而 言 的 一 种 
全 新 的 网 络 组 建 方式 。 很 多 人 称 无 线 网 络 是 一 种 “ 岂 开 辫子 ”的 全 新 上 网 方式 ,在 一 定 程 
度 上 扔 掉 了 有 线 网 络 必须 依赖 的 网 线 。 这 样 一 来 ,用 户 可 以 坐 在 家 里 的 任何 一 个 角落 , 抱 
着 笔记 本 电脑 ,享受 网 络 的 乐趣 ,而 不 像 从 前 那样 必须 要 迁就 于 网 络 接 口 的 布线 位 置 , 家 
里 也 不 会 被 一 根 根 的 网 线 弄 得 乱七八糟 。 

无 线 上 网 需要 哪些 设备 呢 ? 既然 没有 了 网 线 而 改 用 信和 号 方式 进行 连接 ,起 信号 接收 
作用 的 无 线 网 卡 显然 是 一 个 必 不 可 少 的 部 件 。 目前, 网卡 主要 有 MINIPCI, PC RA 
USB 三 种 规格 ,前 两 种 规格 在 笔记 本 电脑 中 应 用 比较 广泛 。 其 中 ,MINI-PCI 为 内 置 型 无 
线 网 卡 , 迅 驰 机 型 和 非 迅驰 的 无 线 网 卡 标 配 机 型 均 使 用 这 种 无 线 网 卡 。 其 优点 是 无 须 占 
用 PC 卡 插 槽 ,并 且 免 去 了 随时 身 携 一 张 PC 卡 的 麻烦 ,更 重要 的 是 由 于 此 类 机 型 的 信号 
天 线 大 都 放置 在 LCD 的 两 侧 ,相对 位 置 较 高 ,可 以 获得 更 好 的 信号 接收 质量 ,信号 好 于 自 
身 集成 天 线 的 PC 卡 无 线 网 卡 。 

如 果 笔 记 本 电脑 没有 标 配 无 线 网 卡 , 并 且 预 留 了 MINI-PCI d Ai ER HIP RT 
以 购买 一 块 本 机 BIOS 支持 的 MINI-PCI 型 的 无 线 网 卡 安 装 于 机 器 中 ,经 过 简单 的 天 线 
连接 就 可 以 使 用 了 ;否则 ,只 能 考虑 采用 PC 卡 无 线 网 卡 。 

有 了 信号 的 接收 设备 ,自然 还 要 有 无 线 信号 的 发 射 源 ,才能 组 成 一 个 完整 的 网 络 环 
境 。 如 果 用 户 居住 和 工作 的 环境 提供 无 线 网 络 信号 ,那么 有 一 张 无 线 网 卡 就 已 足够 ; 否 
则 ,用 户 还 需要 购置 一 个 设备 , 那 就 是 无 线 接 入 点 (AP,Access Point), AP 的 作用 是 给 无 
线 网 卡 提供 网 络 信 号 。 目 前 市 售 的 AP 主要 分 不 带路 由 功能 的 普通 AP 和 带路 由 功能 的 
AP 两 种 。 简 单 地 说 ,前 者 是 最 基本 的 AP, 仅 仅 提供 无 线 信 号 发 射 的 功能 ;而 路 由 AP 可 
以 为 拨号 接 人 Internet 的 ADSL 等 提供 自动 拨号 功能 ,也 就 是 说 , 当 客 户 机 开机 时 ,网 络 
就 自动 接 通 了 ,不 再 需要 手动 拨号 。 另 外 ,路 由 AP 具备 更 完善 的 安全 防护 功能 。 


2. 常见 无 线 网 络 标准 简介 


(D IEEE 802. 11a; IEEE 无 线 网 络 标准 ,指定 最 大 54Mbps 数据 传输 速率 和 5GHz T. 
作 频 段 。 

@ IEEE 802. 11b: IEEE 无 线 网 络 标准 ,指定 最 大 11Mbps 数据 传输 速率 ,使 用 
2.4GHz 频段 。 

@ IEEE 802. 11g: IEEE 无 线 网 络 标准 ,指定 最 大 54Mbps 和 108Mbps 数据 传输 速 
率 , 使 用 2. 4GHz 频段 ,可 向 下 兼容 802. 11b. 

@ IEEE 802. 11n 草案 : IEEEE 无 线 网 络 标准 ,指定 最 大 300Mbps 数据 传输 速率 ， 
使 用 2. 4GHz 频段 。 目 前 ,该 标准 为 草案 ,但 产品 层出不穷 。 

目前 ,IEEE 802. 11b 最 常用 ,但 IEEE 802. 11g 更 具 下 一 代 标 准 的 实力 ,802. 11n 也 
在 快速 发 展 中 。 


3. AP 接 入 点 


AP 接 入 点 (Access Point, 又 称 无 线 局 域 网 收发 器 ) 是 用 于 无 线 网 络 的 无 线 HUB, 是 
无 线 网 络 的 核心 。 它 是 移动 计算 机 用 户 进 入 有 线 以 太 网 骨干 的 接 入 点 ,AP 可 以 简便 地 
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安装 在 天 花 板 或 墙壁 上 。 根 据 接 入 网 络 所 采用 的 无 线 标准 不 同 , 它 在 开放 空间 的 最 大 覆 
盖 范 围 可 达 300m, 无 线 传输 速率 可 达 11 一 300Mbps。 

AP 接 入 点 是 无 线 接 入 的 最 前 端 设备 . 它 一 般 通 过 一 根 或 几 根 天 线 来 完成 信息 的 传 
递 ,无 线 局 域 网 天 线 可 以 扩展 无 线 网 络 的 覆盖 范围 ,把 不 同 的 办 公 大 楼 连接 起 来 。 这 样 ， 
用 户 可 以 随身 携带 笔记 本 电脑 在 大 楼 之 间或 在 房间 之 间 移 动 。 

由 于 无 线 接 人 不 像 有 线 接 人 那样 是 可 见 的 ,对 于 AP 接 入 点 来 讲 , 要 限定 有 效 范围 空 
间 ,造成 接 和 人 点 与 接 人 点 之 间 产 生 交接 问题 。 在 无 线 网 络 标准 中 ,主要 通过 以 下 几 个 方面 
来 解决 : 

CD 动态 速率 转换 , 当 射 频 情况 变 差 时 ,可 将 数据 传输 速率 从 11Mbps 降低 为 
5. 5Mbps.2Mbps 或 1Mbps. 

O 漫游 支持 : 当 用 户 在 楼 房 或 公司 部 门 之 间 移 动 时 ,允许 在 访问 点 之 间 进 行 无 缝 连 
接 。IEEE 802. 11 无 线 网 络 标准 允许 用 户 在 不 同 的 无 线 网 桥 网 段 中 使 用 相同 的 信道 ,或 
在 不 同 的 信道 之 间 漫 游 。 

O 负载 均衡 : 当 AP 变 得 负载 过 大 或 信号 减弱 时 ,NIC 能 更 改 与 之 连接 的 访问 点 
AP, 自 动 转换 到 最 佳 可 用 的 AP, 以 提高 性 能 。 

@ 扩 谱 技术 : 是 一 种 在 20 世纪 40 年 代 发 展 起 来 的 调制 技术 , 它 在 无 线 电 频率 的 宽 
频带 上 发 送 传输 信号 ,包括 跳 频 扩 谱 (FHSS) 和 直接 顺序 扩 谱 (DSSS) 两 种 。 跳 频 扩 谱 被 
限制 在 2Mbps 数据 传输 率 , 并 建议 用 在 特定 的 应 用 中 。 对 于 其 他 所 有 的 无 线 局 域 网 服 
务 ,直接 顺序 扩 谱 是 更 好 的 选择 。 在 IEEE 802. 11b 标准 中 ,人 允许 采用 DSSS 的 以 太 网 速 
率 达 到 11Mbps。 

© 自动 速率 选择 功能 : IEEE 802. 11 无 线 网 络 标准 允许 移动 用 户 设置 在 自动 速率 选 
择 (ARS) 模 式 下 。ARS 功能 会 根据 信号 的 质量 及 与 网 桥接 人 点 的 距离 自动 为 每 条 传输 
路 径 选 择 最 佳 的 传输 速率 。 该 功能 还 可 以 根据 用 户 的 不 同 应 用 环境 设置 成 不 同 的 固定 应 

© 电源 消耗 管理 功能 : IEEE 802. 11 还 定义 了 MAC 层 的 信 令 方式 ,通过 电源 管理 
软件 的 控制 ,使 移动 用 户 的 电池 能 具有 最 长 寿命 。 电 源 管理 软件 会 在 无 数据 传输 时 使 网 
络 处 于 休眠 ( 低 电 源 或 断 电 ) 状 态 , 这 样 可 能 丢失 数据 包 。 为 此 ,IEEE 802. 11 规定 了 AP 
应 具有 缓冲 区 存储 信息 ,处 于 休眠 的 移动 用 户 会 定期 醒 来 恢复 该 信息 。 


4. SSID 


SSID 是 Service Set Identifier 的 缩写 ,意思 是 服务 集 标识 。SSID 技术 可 以 将 一 个 无 
线 局 域 网 分 为 几 个 需要 不 同 身份 验证 的 子 网 络 ,每 一 个 子 网 络 都 需要 独立 的 身份 验证 ,只 
有 通过 身份 验证 的 用 户 才 可 以 进入 相应 的 子 网 络 ,防止 未 被 授权 的 用 户 进 入 本 网 络 。 

SSID 也 可 以 写 为 ESSID, 用 来 区 分 不 同 的 网 络 ,最 多 可 以 有 32 个 字符 。 无 线 网 卡 设 
置 了 不 同 的 SSID ,就 可 以 进入 不 同 网 络 。SSID 通常 由 AP 广播 出 来 ,通过 操作 系统 自 带 
的 扫描 功能 可 以 查看 当前 区 域内 的 SSID。 出 于 安全 考虑 ,可 以 不 广播 SSID ,此 时 用 户 要 
手工 设置 SSID 才能 进入 相应 的 网 络 。 简 单 地 说 ,SSID 是 一 个 局 域 网 的 名 称 , 只 有 设置 
相同 SSID 的 电脑 才能 互相 通信 。 
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通俗 地 说 ,SSID 是 用 户 给 自己 的 无 线 网 络 所 取 的 名 字 。 需 要 注意 的 是 ,同一 生产 商 
推出 的 无 线路 由 器 或 AP 使 用 了 相同 的 SSID, 一 旦 那些 企图 非法 连接 的 攻击 者 利用 通用 
的 初始 化 字符 串 来 连接 无 线 网 络 ,就 极 易 建立 起 一 条 非法 的 连接 ,给 用 户 的 无 线 网 络 带 来 
威胁 。 因 此 ,建议 将 SSID 命名 为 有 个 性 的 名 字 。 

无 线路 由 器 一 般 都 会 提供 “允许 SSID 广播 ”功能 。 如 果 用 户 不 想 让 自己 的 无 线 网 络 
被 别人 通过 SSID 名 称 搜索 到 ,那么 最 好 “禁止 SSID 广播 "。 这 时 ,无 线 网 络 仍 然 可 以 使 
用 ,只 是 不 会 出 现在 其 他 人 所 搜索 到 的 可 用 网 络 列表 中 。 通 过 禁止 SSID 广播 设置 后 ,无 
线 网 络 的 效率 会 受到 影响 ,但 以 此 换取 安全 性 的 提高 ,还 是 值得 的 。 由 于 没有 进行 SSID 
广播 ,该 无 线 网 络 被 无 线 网 卡 忽略 了 ,尤其 是 在 使 用 Windows XP 管理 无 线 网 络 时 ,达到 
TAFE” H HAY. 


任务 设计 (计划 ) 

在 简单 了 解 用 于 无 线 网 络 连接 的 基本 方法 后 ,根据 公司 的 具体 情况 提出 以 下 3 个 任 
务 来 解决 实际 问题 ， 

任务 5.1 构建 自 组 网 模式 无 线 网 络 


任务 5.2 构建 基础 结构 模式 无 线 网 络 
任务 5.3 无 线 网 络 的 安全 、 加 密 部 署 


任务 实施 (实施 ) 


任务 51 构建 自 组 网 模式 无 线 网 络 


情境 回顾 : 小 王 接 到 公司 同事 电话 ,在 现场 ,同事 与 客户 之 间 仅 有 无 线 网 卡 可 以 实现 
通信 。 在 这 种 情况 下 ,根据 前 述 对 无 线 网 络 组 网 模式 的 了 解 ,小 王 决 定 指导 同事 用 两 块 无 
线 网 卡 组 成 自 组 网 模式 无 线 网 络 ,实现 与 客户 的 资源 共享 。 

任务 所 需 设备 为 WG54U(802. 11g 无 线 局 域 网 外 置 USB 网 卡 ,2 块 ) ,网络 拓扑 如 
图 5-1 所 示 。 


1. 安装 WG54U 


(D 把 WG54U 适配器 插入 到 计算 机 空闲 的 USB 端口 ,系统 会 自动 搜索 到 新 硬件 并 
且 提 示 安 装 设备 的 驱动 程序 。 

@ 选择 “从 列表 或 指定 位 置 安装 ”并 插入 驱动 光盘 或 软盘 ,选择 驱动 所 在 的 相应 位 置 
(软驱 或 者 指定 的 位 置 ) ,然后 单 击 “ 下 一 步 " 按 钮 。 

© 计算 机 将 会 找到 设备 的 驱动 程序 ,按照 屏幕 指示 安装 54Mbps 无 线 USB 适配器 ， 
然后 单 击 “ 下 一 步 ” 按 钮 。 

图 单 击 “ 完 成 "按钮 结束 安装 ,屏幕 的 右 下 角 出 现 无 线 网 络 已 连接 的 图 标 ,如 图 5-2 
所 示 ,包括 速率 和 信号 强度 。 
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图 5-1 简单 无 线 网 络 构建 图 5-2 无 线 网 卡 任务 栏 图 标 
2. 设置 无 线 网 卡 
设置 无 线 网 卡 之 间 相连 的 SSID 为 “ruijie”, 具 体操 作 步 又 如 图 5-3 一 图 5-5 所 示 。 
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按 下 面 的 顺序 自动 连接 到 一 个 可 用 网 络 


要 访问 的 网 络 
〇 任何 可 用 的 网 络 (首选 访问 点 ) D 
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自动 连接 到 和 非 首选 的 网 络 W 


图 5-4 配置 网 卡 图 5-5 级 设置 


zr 


在 无 线 网 络 配置 一 栏 中 , 单 击 “ 添 加 ”按钮 ,添加 一 个 新 的 SSID Jy"ruijie". FE“ 
一 栏 中 选择 “ 仅 计 算 机 到 计算 机 ”模式 ,或 者 通过 RG-WG54U 产品 中 的 无 线 网 络 配置 软 
件 ,选择 自 组 网 模式 (Ad-Hoc) 模 式 。 
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3. 设置 PC2 无 线 网 卡 的 IP 地 址 


将 PC2 的 IP 地 址 设置 为 192. 168. 1. 2( 见 图 5-6). PC1 的 配置 方法 与 PC2 相同 ,但 
PC1 AY IP 地 址 要 设置 为 192. 168. 1. 1 ,否则 与 PC2 的 地 址 会 有 冲突 。 
Internet 协议 (ICP/IP) 属性 
常规 


如 果 网 络 支持 此 功能 ， 则 可 以 : Lie 
OEE haze Sen 


d I SE. 否则， 


O 自动 获得 Ir HALO) 
OH THAT IF HAE GS) 
IP HALO 


FEB W 
默认 网 关 @) 


192 .168 . 1 


255 .255 .255 


© 使 用 下 面 的 DNS 服务 器 地 址 E) 
首选 DNS RSS D 
备用 DNS 服务 器 QD 


图 5-6 配置 PC2 的 IP 地址 


4. 测试 PC2 与 Pci 的 连通 性 


在 PC2 上 用 Ping 命令 


: Ping 192. 168. 1. 1CPCI ff] IP 地址 ) ,测试 连通 性 ,测试 成 功 ， 
如 图 5-7 所 示 。 


1985-2001 


图 5-7 测试 连通 性 
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任务 52 构建 基础 结构 模式 无 线 网 络 


情境 回顾 : 根据 客户 提出 的 网 络 部 署 要 求 ,由 于 办 公 环 境 不 适合 采用 有 线 网 络 ,为 了 
使 得 局 域 网 用 户 能 够 正常 通信 并 且 实 现 资 源 共享 ,建议 架设 基础 结构 模式 无 线 网 络 。 
任务 所 需 设 备 : RG-WG54U (802. 11g HA LAN 外 置 USB 网 卡 , 2 块 ) 和 RG- 
WG54P( 无 线 局 域 网 接 人 设备 ,1 台 )。 网 络 拓扑 如 图 5-8 所 示 。 
RG-WG54P:AP-TEST 


ESSID: ruijie 
RG-WG54P 管 理 地 址 : 192.168.1.1/24 


C2 


PCI FEER IP HULL ; 1.1.1.2/24 PC2 无 线 IP 地 址 ; 1.1.1.36/24 
PCI 以 太 网 IP 地 址 : 192.168.1.23/24 


Hos 构建 简单 无 线 网 络 


1. 安装 无 线 网 卡 RG-WG54U 


(D 把 RG-WG54U 适配器 插入 到 计算 机 空闲 的 USB 端口 ,系统 会 自动 搜索 到 新 硬件 
并 且 提 示 安 装 设备 的 驱动 程序 。 

© 选择 “从 列表 或 指定 位 置 安装 "并 插入 驱动 光盘 或 软盘 ,选择 驱动 所 在 的 相应 位 置 
(软驱 或 者 指定 的 位 置 ) ,然后 单 击 “ 下 一 步 ” 按 钮 。 

C 计算 机 将 找到 设备 的 驱动 程序 ,按照 屏幕 指示 安装 54Mbps 无 线 USB 适配器 , 然 
后 单 击 “ 下 一 步 ” 按 钮 。 


O 单 击 "完成" tette Dit: UC in ER 


网 络 已 连接 的 图 标 ,包括 速率 和 信号 强度 ,如 图 5-9 所 示 。 
图 5-9 无 线 网 卡 任务 栏 图 标 
2. 配置 无 线 AP(RG-WG54P) 


第 一 步 , 将 所 需 的 设备 连接 起 来 ,如 图 5-10 所 示 。 

PE. 这 是 实物 连接 图 ,由 于 RG-WG54P 有 一 个 供电 的 适配器 是 支持 以 太 网 供电 的 ， 
故 需要 正确 地 按 图 示 连 接 。 

第 二 步 ,配置 各 种 设备 ,如 图 5-11 所 示 。 

因为 RG-WG54P 出 厂 时 管理 地 址 默认 为 192. 168. 1.1/24, 需 要 将 PCI 的 网 卡 IP 地 
址 为 192. 168. 1. 23/24。 
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Internet 协议 (ICP/IP) 属性 


常规 
Cr em c 


O 自动 获得 IP HLO) 

全 使 用 下 面 的 IP 地 址 (8) 

IP HALO ag. 
FABY: 255 .25: 
URED: 192 


自动 获得 m 服务 器 地 址 @) 
© 使 用 下 面 的 ms 服务 器 地 址 QD: 
首选 ms 服务 器 D: 
备用 DNS 服务 器 A): 


图 5-10 实物 连接 图 图 5-11 IP 配 置 


在 I 浏览 器 中 输入 http://192.168.1.1, 登 录 到 RG-WG54P 的 管理 界面 ,输入 默认 
密码 “default”, 如 图 5-12 所 示 。 


ET — Microsoft Internet Fxplorer 


Se) WEO MEW KAW IAV HMW 


Qa- O° [MG P» y O BS a- 


3l) [i] meg 7/192. 189.1. / 


> Lil 
54Mbps Hotspot Access Point 


empe — > 


@ inane 


图 5-12 无 线 AP 登录 界面 
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EEZITNIES met Explorer 


XED REQ SEO KRW TRO Wu 
Qs-O WAG Pa ym © SS a: 


HAE [B se 7/2 vt 1 fin mt 


54Mbps Hotspot Access Point 


DE 24 
[aa 


BARBER: [EE 


图 5-13 基本 配置 


在 常规 设置 中 修改 接 入 点 名 称 为 AP-TEST( 此 名 称 为 任意 设置 ) ,设置 无 线 模式 为 


AP,ESSID 为 ruijie(ESSID 名 称 可 任意 设置 ) ,信道 /频段 为 01/2412MHz, 模 式 为 混合 模 
式 ( 此 模式 可 根据 无 线 网 卡 类 型 具体 设置 ) 。 


第 三 步 ,生效 配置 。 配 置 完 成 后 , 单 击 “ 确 定 ” 按 钮 ,使 RG-WG54P 应 用 新 的 设置 ,如 
图 5-14 所 示 。 


ET xx 
Xu) wen BEC KRW IRD FMW 
Qa: O AAG pr rm o S3 m- 


AED B] ey 2 126 1 iinta bent 


54Mbps Hotspot Access Point m - 


^ wwrcks4aexw. 


BEBAN? 
E) (XR) 


pre 
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3. 配置 SSID 


为 PC1 5j PC2 安装 RG-WG54U 配置 软件 ,设置 SSID 为 ruijie, 选 择 组 网 模式 为 基 
础 结构 模式 (Infrastructure) ,如 图 5-15 所 示 。 


X. IEEE 802.11g Wireless LAN Utility 


Configuration |Site Survey | About | 


Profile: z Save Delete 


-Configuration 
ssp: fie — Advance 
Wetwork Type: [Infrastructure >] Security Enabled[~ Confie 
Ad-Hoc Channel: 一 一 一 一 
Transmit Rate: [auto =] Default Apply 


Status 
State: [nfrastructure> - ruijie - 00:60:B3:22:98:20 
Current Channel: [i 
Throughput (Packets/sec): 
Link Quality: Good (100%) 
Signal Strength: Good (95%) 


图 5-15 配置 SSID 


4. 加 入 ESSID 


将 PCI 与 PC2 的 RG-WG54P 网 卡 加 入 到 ruijie 这 个 ESSID, 如 图 5-16 所 示 。 


X IEEE 802. 11g Wireless LAN Utility 


Configuration Site Survey | About || 


ESSID | BSSID [Channel | Network Type | Security | Signal | Re 
run jie] 00:60:B3:22:98:2C [1 Infrastructure a ETE 
00:04:E2:EC:FB:24 6 Infrastructure 75% 


图 5-16 加 入 ESSID 


选中 “ruijie”, 然 后 单 击 右 下 角 的 “Join” 按 钮 。 
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5. 配置 IP 地 址 


配置 PC] 地 址 为 1.1.1. 


PC2 地 址 配置 ,PC1 与 PC2 地 址 配置 方法 相同 )。 


Internet 协议 (TCP/IP) 属性 
常规 
加 果 网 络 支 持 此 功能 ， 则 可 以 获取 自动 指派 的 IP 设置 。 否则， 
您 需要 从 网 络 系统 管理 员 处 获得 适当 的 IP 设置 


O Babes Ir Hitt O 
ORT GA IP MEG] 


IP Hitt © 1 1 1.36 
TRES QD 255 .255 .255 . 0 
默认 网 关 ©) 


O 使 用 下 面 的 DNS 服务 器 地 址 D 
首选 ns RARE) 
备用 DNS 服务 器 QD 


,PC1 地 址 为 1. 1. 1. 36 ,保证 在 同一 网 段 即 可 (图 5-17 中 为 


[x] 


5-17 IP 设置 


6. 测试 连通 性 


测试 PCL 与 PC2 的 连通 性 ,如 图 5-18 所 示 


P [版 1. 
2081 Microsoft 


:\Documents and Settings \new>ping 1.1.1.36 


5 with 32 bytes of data: 
tine-iins TTL=1 


tine TIL 
tine 


tine 


Rpproxinat 


Mininum = 2n 


~ Maximum = tins, 


Aver: 


s and Settings\nev), 


图 5-18 测试 连通 性 
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任务 53 无 线 网络 的 安全 、 加 密 部 署 


情境 回顾 : 作为 公司 的 网 络 管理 人 员 , 按 公司 业务 发 展 要 求 ,在 公司 门市 部 署 无 线 网 
络 :同时 为 了 保证 网 络 的 安全 与 保密 ,要 求 在 接 人 的 时 候 采取 802. 1x 用 户 身份 验证 ,并 用 
WAPI 和 SSID 加 密 , 防 止 别 的 无 线 用 户 接 入 公司 的 


网 络 。 -一 
任务 所 需 设 备 : RG-108M 无 线 网 卡 两 块 , RG- we Sy 

108M 无 线 AP 一 台 。 网 络 拓扑 如 图 5-19 所 示 。 Ps M 
1. 配置 无 线 AP 4 a 
进入 无 线 AP 的 界面 ,然后 根据 具体 要 求 来 配置 ， 图 5-19 ”典型 无 线 网 络 


操作 步骤 如 图 5-20 一 图 5-22 所 示 。 
为 了 保证 无 线 网 络 的 安全 ,需要 在 AP 配置 中 将 WEP(Wired Equivalent Privacy, 有 
线 等 效 协议 ) 选 择 为 “enable”, 以 实现 对 无 线 传 递 数据 的 加 密 。 


LIMO dp TEW WANA TAD Beo 
ome: + - OM A Oar uem gus GS Gerke Ca 
hn 


| 
J 
Thh ao n 


TP 
PRIN 


RG WSG108R 


IR | [ae FRR 1008, (eB: 208M 000 
x s| lamp E Nm 


NB +i 

Dus 由 | 
NOSE ej 
mo ef 
NOT Aj 
Exe 5 | 


lt» ^31 — LT p Mew 


KEER EEL COLI LEETE] 


an 
eme ARU xe 
[ees o2 oam cenm maset | WC neytar | Empan nawe | Ete aa | DAMIA 


图 5-20 配置 无 线 AP 


2. 设置 在 AP 端 802. 1x 验证 


认证 类 型 选择 802. 1x 加 密 方式 ,长 度 选择 64bits, 其 他 默认 ,如 图 5-23 所 示 。 
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XD RO HEV EMA IRD EWW 
| =m -+ -00A arr aee Qus J Jadrae ka 
[BEID [BT hep rte8. to schonce iG him 


Im ELT — —À mi [50] 


RG—WSGTOBR 


z 
kid deer à e Ip l Le 
aem|ude2ousmaeuooamerausue fied" | [m 

[euo inse oy Xe Eecunents and sets». | Bcra ene. | E Yato fe ico 103/c..| AE ono - 28 


图 5-21 配置 无 线 AP 参数 


| xi Go EO) Ra) IRD ED 
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图 5-22 完成 配置 
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PEED FET rene. 1ce10.3 "m 


=] cet lies» 


[je as «| Jas] 


C open System C shared Eey C WPA 


i 588 v] 
© 64 bits C 128 bits 
[0.0.2 
fiaz 


[0.0.9 
[c 


C WEEK 


a 
ameueazols"mseuooameraudusae 


ex see 


| 
CE E rer 


| Ge Pomerts ard setti.. | BWP ino - Acre. | HISPRAT tap -B [ero tse neo 
图 5-23 802. 1x 验证 


3. 配置 客户 端 


Ba 


在 “基础 设置 "项 中 ,SSID 选择 default, 无 线 模式 选择 普通 接收 模式 ,其 他 配置 为 默 


认 , 如 图 5-24 所 示 。 


108Mbps 无 线 网 络 适配器 配 香 工 具 
SSID default] 


无 线 模式 

点 对 点 规格 

频道 

连接 速率 (11B/6) 

连接 速率 0114) 12m 


电源 模式 连续 扫描 < 
前 置 码 短 码 与 长 码 z] 


QR) 


图 5-24 客户 端 配置 


ad) 


o9 


E 11a TURBO 
116 TURBO 
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4. 配置 客户 端 接 入 认证 


客户 端 接 入 认证 在 “高 级 设 定 ” 项 中 设置 ,加 密 技 术 选 “开启 ”, 验 证 模式 选择 “认证 ”， 
其 他 默认 ,如 图 5-25 所 示 。 


连接 状态 


基础 设置 


图 5-25 客户 端 接 人 认证 


规律 总 结 (检查 ) 


O 两 台 移动 设备 的 无 线 网 卡 的 SSID 必须 一 致 ,才能 实现 通信 。 

© 无 线 网 卡 默认 的 信道 为 1, 如 遇 其 他 系列 网 卡 , 要 根据 实际 情况 调整 无 线 网 卡 的 信 
道 ,使 多 块 无 线 网 卡 的 信道 一 致 

© 两 块 无 线 网 卡 的 TP 地 址 设置 为 同一 网 段 ,才能 组 成 一 个 能 够 互相 通信 的 网 络 。 

@ 无 线 网 卡通 过 自 组 网 式 无 线 网 络 互联 ,对 两 块 网 卡 的 距离 有 限制 ,工作 环境 下 一 
般 不 建议 超过 10m。 

C) 无 线 网 卡通 过 基础 结构 模式 互联 ,覆盖 距离 可 以 达到 100 一 300m。 

© 无 线 网 络 隐秘 技术 目前 解决 的 是 对 在 无 线 网 络 中 传递 的 数据 进行 加 密 , 但 由 于 其 
自身 密 钥 长 度 等 的 缺陷 ,对 其 入侵 的 难度 相对 较 小 ,因此 这 种 无 线 网 络 隐秘 技术 仅 用 于 阻 
止 初级 入 侵 用 户 的 入侵 。 


思考 训练 (评估 ) 


1. 思考 与 提高 


(1) 什么 是 无 线 网 络 ? 
(2) 常见 无 线 网 络 标准 有 几 种 ? 
(3) 什么 是 AP( 接 人 点 )? 
(4) 什么 是 SSID? 
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2. 实 训 


CD 某 办 公 室 有 三 名 工作 人 员 , 均 有 笔记 本 电脑 ( 配 无 线 网 卡 )。 请 你 根据 所 学 知识 
为 他 们 搭建 一 个 网 络 ,实现 相互 之 间 的 资源 共享 。 要 求 写 出 实施 方案 与 具体 配置 过 程 。 

(2) 同 第 (1) 题 场景 ,办 公 室 仅 有 一 个 网 络 信息 接 入 点 , 现 要 求 采用 无 线 方式 实现 每 
个 人 均 能 接 入 Internet。 请 根据 所 学 知识 提出 构建 方案 与 具体 配置 过 程 。 


155 


学 习 情 境 6 网 络 综合 配置 应 用 


任务 情境 (资讯 ) 


随 着 公司 业务 的 不 断 开 展 ,ThreeFour Software 公司 借助 几 年 来 在 IT 市 场 上 积累 的 
经 验 ,成 立 了 网 络 集成 项 目 部 。 项 目 部 成 立 后 ,承接 了 两 项 网 络 综合 项 目 , 通 过 项 目的 实 
施 ,使 得 部 门 成 员 得 到 了 很 好 的 锻炼 。 现 将 两 个 项 目的 具体 情况 描述 如 下 。 


1. 企业 双 出 口 网 络 集成 


某 中 型 企业 要 求 按照 “安全 性 ,可 管理 性 ,稳定 性 ”的 原则 ,对 原 有 网 络 进行 更 新 改造 ， 
具体 要 求 如 下 : 

CD 为 了 保证 网 络 出 口 的 稳定 性 和 可 靠 性 ,企业 向 ISP 申请 了 两 条 Internet 线路 ,用 
作 负 载 均衡 和 宛 余 备 份 。 

@ 为 了 保证 网 络 的 安全 性 、 可 靠 性 ,企业 要 求 核心 设备 支持 防 DDoS (Distribution 
Denial of Service ,分 布 式 拒绝 服务 攻击 ) 攻 击 、 防 恶意 的 IP 扫描 。 病 毒 侵 入 与 非法 攻击 
是 企业 网 络 很 大 的 安全 隐患 ,不 发 作 则 已 ,一 发 作 就 是 大 问题 。 因 此 ,要 求 内 部 网 络 能 实 
现在 核心 层 、. 接 和 人 层 防止 网 络 蠕虫 病毒 扩散 ,要 求 核心 和 接 人 网 络 设备 能 支持 VLAN 的 
划分 ,降低 网 络 内 广播 数据 包 的 传播 ,提高 带宽 资源 利用 率 。 

© 网 络 设备 需 支持 灵活 多 样 的 管理 方式 ,以 减轻 管理 .维护 的 难度 。 


2. 大 型 单 核心 项 目 集成 


某 大 型 企业 随 着 现代 化 管理 进程 的 推进 ,需要 在 现 有 网 络 的 基础 上 进行 升级 改造 ,将 
目前 已 有 各 分 支 机 构 网 络 连 到 一 起 ,实现 内 部 专业 业务 核算 网 络 与 外 部 访问 数据 的 共享 
与 互通 ,同时 要 保证 内 部 各 业务 子 网 的 独立 与 安全 。 这 个 项 目 集 合 了 交换 路 由 基础 、 
OSPF,802. 1q, VLAN, NAT,SNMP,ACL 访问 控制 .安全 控制 等 众多 网 络 综合 业务 ,对 
参与 网 络 集成 的 人 员 提 出 了 很 高 的 要 求 。 

下 面 以 锐 捷 公司 的 产品 为 例 来 介绍 。 


任务 分 析 ( 决 策 ) 


上 述 情 境遇 到 的 核心 问题 是 构建 网 络 所 需 的 设备 以 及 如 何 根据 网 络 实际 情况 来 配置 
设备 。 为 此 ,需要 注意 以 下 几 点 : 


1. 做 好 需求 分 析 
需求 分 析 是 要 了 解 局 域 网 用 户 现在 想 要 实现 什么 功能 .未 来 三 年 需要 什么 功能 .后续 
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投入 有 多 大 ,为 网 络 设计 提供 必要 的 参考 。 
2. 确定 网 络 类 型 和 工作 模式 


(1) 确定 网 络 类 型 

现在 的 局 域 网 市 场 几乎 完全 被 性 能 优良 、 价 格 低廉 ,升级 和 维护 方便 的 以 太 网 所 占 
领 ,所 以 一 般 的 局 域 网 都 选择 以 太 网 连接 .并且 以 星 型 连接 。 

(2) 确定 网 络 带宽 和 网 络 设备 

一 个 网 络 ( 数 百 台 至 上 千 台 计算 机 构成 的 局 域 网 ) 可 以 在 逻辑 上 分 为 以 下 几 个 层次 : 
核心 层 、 分 布 层 和 接 入 层 。 在 中 小 规模 网 络 ( 几 十 台 至 几 百 台 计 算 机 构成 的 局 域 网 ) 中 ,可 
以 将 核心 层 与 分 布 层 合并 , 称 为 折 生 主干 ,简称 主干 , 称 接 人 层 为 分 支 。 对 于 由 几 十 台 计 
算 机 构成 的 小 型 网 络 ,可 以 不 必 采 取 分 层 设 计 的 方法 。 在 工作 模式 上 ,根据 需要 ,采用 集 
中 模式 或 分 散 计算 模式 ,或 者 两 种 结合 的 共用 网 络 模式 。 所 以 , 先 要 了 解 每 个 使 用 端的 应 
用 要 求 , 以 确定 客户 端 设 备 。 

目前 快速 以 太 网 能 够 满足 网 络 数据 流量 不 是 很 大 的 中 小 型 局 域 网 的 需要 。 但 是 在 计 
算 机 数量 超过 数 百 台 ,或 网 络 数据 流量 比较 大 的 情况 下 ,应 采用 千 兆 以 太 网 技术 ,以 满足 
对 网 络 主干 数据 流量 的 要 求 。 

网 络 主干 和 分 支 方案 确定 之 后 ,就 可 以 选 定 交 换 机 和 路 由 产品 了 。 现 在 市 场 上 的 交 
换 机 品牌 不 下 几 十 种 。 人 性 能 最 高 的 当 属 Cisco, 3Com, Avaya 等 国外 交换 机 品牌 ,这 些 产 
品 占 领 了 高 端 市 场 ,价格 非常 昂贵 ;以 锐 捷 、 神 州 数码 .D-Link、TP-LINK 为 代表 的 国内 交 
换 机 厂商 的 产品 具有 非常 高 的 性 能 价格 比 ,也 可 以 选择 。 交 换 机 的 数量 由 网 络 拓扑 结构 
来 决定 。 


任务 设计 (计划 ) 


为 了 体现 现代 网 络 构建 的 具体 情况 ,本 节 提 出 以 下 两 个 典型 的 任务 来 解决 在 网 络 建 
设 中 可 能 遇 到 的 问题 : 

任务 6.1 中 小 企业 双 出 口 网 络 

任务 6.2 大 型 ( 单 核心 ) 网 络 综合 项 目 


任务 实施 (实施 ) 


任务 61 中 小 企业 双 出 口 网 络 


情境 回顾 : 根据 前 述 任务 情境 描述 ,该 企业 网 络 改 造 首先 要 解决 的 关键 点 是 双 出 口 
的 负载 均衡 与 元 余 备份 ;然后 是 根据 企业 要 求 在 设备 上 进行 网 络 安全 的 配置 与 管理 ,以 满 
足 企业 提出 的 “安全 性 、 可 管理 性 、 稳 定性 ?原则 。 

下 面 根据 企业 提出 的 改造 原则 和 具体 工作 需求 分 别 进行 需求 分 析 , 以 确定 网 络 改造 
升级 所 需 的 设备 及 设备 配置 与 管理 资料 。 
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1. 需求 分 析 


需求 1: 为 了 保证 网 络 出 口 的 稳定 性 、 可 靠 性 ,企业 向 ISP 申请 了 两 条 Internet 线路 
用 作 负 载 均衡 和 宛 余 备份 。 

分 析 1: 出 口 的 两 台 设备 连接 两 条 线路 ,可 采用 VRRP 技术 实现 负载 均衡 ,使 得 客户 
端 连 接 外 网 透明 化 。 

需求 2: 为 了 保证 网 络 的 安全 性 、 可 靠 性 ,企业 要 求 核心 设备 支持 防 DDoS 攻击 、 防 恶 
意 的 IP 扫描 。 因此, 要求 内 部 网 络 能 实现 在 核心 层 、 接 入 层 防止 网 络 蠕虫 病毒 扩散 ,要 求 
核心 和 接 人 网 络 设备 能 支持 VLAN 的 划分 ,降低 网 络 内 广播 数据 包 的 传播 ,提高 带宽 资 
源 利用 率 ,防止 广播 风暴 的 产生 。 

分 析 2: 以 上 是 对 产品 本 身 功能 的 需求 ,核心 可 采用 RG-S6800E 系列 交换 机 , 接 入 采 
用 安全 接 人 交换 机 RG-S2100 系列 。 

需求 3: 网 络 具有 可 管理 性 ,网 络 设备 支持 灵活 多 样 的 管理 方式 。 

分 析 3: 所 有 网 络 设备 均 配置 远程 管理 功能 ,使 得 用 户 可 以 在 本 地 登录 各 个 设备 。 


2. 网 络 拓扑 结构 的 提出 
网 络 拓扑 结构 (如 图 6-1 所 示 ) 。 


R2624-A 


E0: 192.168.0.254 WE 


- F024 


TL F024 
$2126G-A $2126G-B 
F0/10 F0/20 FO/10 F0/20 
部 分 用 户 部 分 用 户 部 分 用 户 部 分 用 户 


网 关 :192.168.0.1 网 关 :192.168.0.2 网 关 :192.168.0.1 网 关 :192.168.0.2 


备份 组 10 虚 拟 IP: 192.168.0.1 
备份 组 20 虚拟 IP: 192.168.0.2 


图 6-1 双 出 口 网 络 拓扑 结构 图 


3. 地 址 规划 
地 址 规划 如 表 6-1 Bras 。 
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表 6-1 IP 地 址 规划 


i 备 IP 地 址 备 È 
R2624-A 192. 168. 0. 254/24 R2624-A EO 
R2624-B 192. 168. 0. 253/24 R2624-B E0 
虚拟 备份 组 10 192. 168. 0. 1/24 虚拟 备份 组 10 
虚拟 备份 组 20 192. 168. 0. 2/24 虚拟 备份 组 20 

4. 实施 步骤 
具体 配置 包括 以 下 几 个 部 分 : 


CD 网 络 设备 基本 配置 及 基本 测试 ; 

@ VRRP 功能 配置 及 验证 ; 

@ VRRP 功能 测试 。 

第 一 步 : 设备 基本 配置 及 网 络 测试 。 

(1) S2126G-A 交换 机 基本 配置 (用 作 二 层 设 备 ) 


hostname S2126G-A 
vlan 1 
end 


(2) S2126G-B 交换 机 基本 配置 (用 作 二 层 设 备 ) 


hostname S2126G-B 
vlan 1 
end 


(3) S3550-24-A 交换 机 基本 配置 (用 作 二 层 设备 ) 


hostname S3550- 24-A 
vlan 1 
end 


(4) R2624-A 路 由 器 基本 配置 


conf t 

hostname R2624- A 

enable password star 

interface FastEthernetO 

ip address 192.168.0.254 255.255.255.0 
no shut 

exit 

line vty0 4 

password star 

login 
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(5) R2624-B 路 由 器 基本 配置 


conf t 

hostname R2624- B 

! 

enable password star 
interface FastEthernetO 
ip address 192.168.0.253 255.255.255.0 
no shut 

exit 

line vty 0 4 

password star 

login 


C6) 测试 网 络 连通 性 
通过 ping 测试 ,网 络 通信 正常 。 
(D 在 R2624-A 上 ,使 用 ping 命令 来 测试 到 R2624-B 的 连通 性 。 


R2624- Af ping 192.168.0.253 

Type escape sequence to abort. 

Sending 5,100- byte ICMP Echoes to 192.168.0.253, timeout is 2 seconds: .!!!! 
Success rate is 80 percent (4/5),round- trip min/avg/max- 1/1/4ms 


© Æ R2624-A 上 ,使 用 ping 命令 来 测试 到 R2624-A 的 连通 性 。 


R2624- B# ping 192.168.0.254 

Type escape sequence to abort. 

Sending 5,100- byte ICMP Echoes to 192.168.0.254, timeout is 2 seconds: !!!!! 

Success rate is 100 percent (5/5),round- trip min/avg/max- 1/1/4 ms 

第 二 步 : 在 路 由 器 上 配置 VRRP 功能 。 

VRRP 功能 是 通过 配置 两 台 R2624 路 由 器 实现 的 。 根 据 项 目 方案 ,采用 两 个 备份 
组 ,虚拟 出 两 个 TP 地 址 : 虚拟 备份 组 10. IP 地 址 为 192. 168. 0. 1/24; 虚 拟 备份 组 20,IP 
地 址 为 192. 168. 0. 2/24。 

(1) R2624-A 基本 配置 


interface FastEthernet0 


vrrp 10 priority 105 ! 设 置 虚拟 组 优先 级 为 105, 默 认为 100 
vrrp 10 ip 192.168.0.1 ! 配 置 虚拟 组 地 址 

vrrp 20 ip 192.168.0.2 ! 配 置 虚拟 组 地 址 

exit 


(2) R2624-B 基本 配置 


interface FastEthernetO 
vrrp 10 ip 192.168.0.1 
vrrp 20 priority 150 
vrrp 20 ip 192.168.0.2 
exit 
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(3) VRRP 验证 

通过 (1) 和 (2) 的 基本 配置 ,虚拟 组 10 以 在 R2624-A 为 主 路 由 器 ,R2624-B 为 备份 路 
由 器 ;虚拟 组 20 以 R2624-A 为 备份 路 由 器 ,R2624-B 为 主 路 由 器 。 使 用 如 下 命令 验证 
VRRP 配置 : 


R2624- A# show vrrp brief ! 显 示 当 前 vrrp 状态 
Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 105 ——- P Master 192.168.0.254 192.168.0.1 
FastEthernetO 20 100 ——- P Backup 192.168.0.253 192.168.0.2 
R2624- B# show vrrp brief ! 显 示 当 前 vrrp 状态 
Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 100 ——- P Backup 192.168.0.254 192.168.0.1 
FastEthernetO 20 150 ——- P Master 192.168.0.253 192.168.0.2 


使 用 如 下 命令 查看 详细 的 VRRP 信息 : 
CD 在 R2624-A 上 查看 vrrp 信息 


R2624- A# show vrrp ! 显 示 当 前 vrrp 状态 

FastEthernet0- Group 10 ! 以 太 网 接口 名 称 及 接口 上 设置 的 vrrp 备份 组 号 
State is Master !vrrp 备份 组 状态 

Virtual IP address is 192.168.0.1 configured ! 备 份 组 10 虚拟 ip 地址 

Virtual MAC address is 0000.5e00.010R ! 备 份 组 10 虚拟 mac 地 址 
Advertisement interval is 1 sec !vrrp 通告 时 间 间 隔 

Preemption is enabled ! 设 置 了 抢占 模式 

min delay is 0 sec 

Priority is 105 ! 优 先 级 


Master Router is 192.168.0.254 (local), priority is 105 
! 虚 拟 组 10 master 路 由 器 ip 地 址 及 master 路 由 器 优先 级 
Master Advertisement interval is 1 sec !master 路 由 器 通告 时 间 间 隔 


Master Down interval is 3 sec !master 路 由 器 失效 判断 时 间 间 隔 
FastEthernet0- Group 20 ! 以 太 网 接口 名 称 及 接口 上 设置 的 vrrp 备份 组 号 
State is Backup !vrrp 备份 组 状态 

Virtual IP address is 192.168.0.2 configured  — ! 备 份 组 20 虚拟 ip Hl: 

Virtual MAC address is 0000.5e00.0114 ! 备 份 组 20 虚拟 MAC 地 址 
Rdvertisement interval is 1 sec tvrrp 通告 时 间 间 隔 


Preemption is enabled 
Min delay is 0 sec 


Priority is 100 ! 设 置 优先 级 

Master Router is 192.168.0.253,pritority is 150 ! 虚 拟 组 20 master 路 由 器 ip 地 址 及 master 路 
由 器 优先 级 

Master Advertisement interval is 1 sec !master 路 由 器 通告 时 间 间 隔 

Master Down interval is 3 sec !master 路 由 器 失效 判断 时 间 间 隔 


@ 在 R2624-B 上 查看 vrrp 信息 


R2624- Bf show vrrp 
State is Backup FastEthernet0- Group 10 


Virtual IP address is 192.168.0.1 configured 
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168. 


Virtual MAC address is 0000.5e00.010A 
Advertisement interval is 1 sec 

Preemption is enabled 

min delay is 0 sec 

Priority is 100 

Master Router is 192.168.0.254, pritority is 105 
Master Advertisement interval is 1 sec 

Master Down interval is 3 sec 

FastEthernet0- Group 20 

State is Master 

Virtual IP address is 192.168.0.2 configured 
Virtual MAC address is 0000.5e00.0114 
Advertisement interval is 1 sec 

Preemption is enabled 

min delay is 0 sec 

Priority is 150 

Master Router is 192.168.0.253 (local), priority is 150 
Master Advertisement interval is 1 sec 

Master Down interval is 3 sec 


(4) 网 络 连通 性 测试 
对 于 接 在 接 人 层 设 备 S2126G 上 的 用 户 ,为 其 分 配 IP 地 址 为 192. 168. 0. 3/24—192. 
0. 252/24, 网 关 可 以 指向 192. 168. 0. 1 或 者 192. 168. 0.2。 由 于 在 出 口 路 由 器 上 配 


HET VRRP, 可 以 为 网 络 提供 完 余 备 份 和 负载 均衡 功能 。 
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D:\> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 


ns hen : 192.168.0.234 
Subnet Mask .pe : 255.255.255.0 
Default Gateway.................. : 192.168.0.1 ! 终 端 用 户 以 虚拟 组 10 为 网 关 


D:\>ping 192.168.0.1 
Pinging 192.168.0.1 with 32 bytes of data: 
Reply from 192.168.0.1: bytes- 32 time< 10ms TTL- 255 
! 经 测试 pc 192.168.0.234 到 网 关 192.168.0.138 fii IE f 

D: V» ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 

Connection- specific DNS Suffix.: 


IP Address ....................... : 192.168.0.234 
Subnet Mask : 255.255.255.0 
Default Gateway.............. : 192.168.0.2 ! 终 端 用 户 以 虚拟 组 20 为 网 关 


D:\>ping 192.168.0.2 
Pinging 192.168.0.2 with 32 bytes of data: 
Reply from 192.168.0.2: bytes=32 time« 10ms TTL- 255 
! 经 测试 pc 192.168.0.234 到 网 关 192.168.0.2 38 fri IE dE 


第 三 步 : VRRP 功能 测试 。 测 试 VRRP 宛 余 备 份 与 负载 均衡 功能 。 
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根据 VRRP 功能 ,在 主 路 由 器 失效 的 情况 下 ,备份 路 由 器 会 在 一 定 的 时 间 里 切换 为 

主 路 由 器 ;在 使 用 了 抢占 模式 后 , 若 路 由 器 故障 恢复 后 ,VRRP 会 重新 计算 , 主 路 由 器 切 
换 到 备份 状态 ,故障 路 由 器 为 主 状态 。 


(1) 网 络 正 常 运行 情况 下 ,VRRP 状态 及 网 络 连通 性 


R2624- Af show vrrp brief 


! 显 示 R2624- A vrrp 状态 


Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 105 ——- P Master 192.168.0.254 192.168.0.1 
FastEthernetO 20 100 ——- P Backup 192.168.0.253 192.168.0.2 

R2624- B# show vrrp brief ! 显 示 R2624- B vrrp 状态 
Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 100 ——- P Backup 192.168.0.254 192.168.0.1 
FastEthernetO 20; 159 = P Master 192.168.0.253 192.168.0.2 


D:\>ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 
IP Address... : 192.168.0.234 
Subnet Mask. 255.255.255.0 
Default Gateway ............... : 192.168.0.1 
! 以 虚拟 组 10 为 默认 网 关 的 终端 用 户 
D:V»ping 192.168.0.1 
Pinging 192.168.0.1 with 32 bytes of data: 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
! 经 测试 终端 用 户 pc 192.168.0.234 到 网 关 192.168.0. 138 fA IE 
D:\>ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 
IP Address... : 192.168.0.234 
Subnet Mask. - 2 255.255.255.0 
Default Gateway............... : 192.168.0.2 
D:\>ping 192.168.0.2 
Pinging 192.168.0.2 with 32 bytes of data: 
Reply from 192.168.0.2: bytes=32 time« 10ms TTL- 255 
! 经 测试 终端 用 户 pc 192.168.0.234 到 网 关 192.168.0.2 38 fi IE E 


(2) 若 2624-A 路 由 器 出 现 故 障 ,VRRP 状态 及 网 络 的 连通 性 

终端 用 户 使 用 ping 命令 加 “-t" 参 数 来 观察 当 路 由 器 出 现 故 障 后 网 络 连通 性 的 变化 ， 
通过 将 S3550-24-A 与 R2624-A 之 间 的 线 缆 人 为 断 开 来 模拟 R2624-A 路 由 器 故障 。 

CD 在 网 络 正常 运行 时 ,网 络 通信 正常 。 


D:\> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 


IP Address... 
Subnet Mask. 


: 192.168.0.234 
z 255.255.255.0 
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Default Gateway............... : 192.168.0.1 
D:\>ping 192.168.0.1- t 
Pinging 192.168.0.1 with 32 bytes of data: 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 


ree XR Reply from 192.168.0.1: bytes- 32 time« l0ms TTL- 255 
! 在 网 络 正常 运行 时 网 络 通信 正常 


© 当 R2624-A 出 现 故 障 时 ,网 络 连通 性 变化 。 


D:\> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 
IP Address 192.168.0.234 
Subnet Mask. : 255.255.255.0 
Default Gateway ................ : 192.168.0.1 
D:V» ping 192.168.0.1- t 
Pinging 192.168.0.1 with 32 bytes of data: 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
Request timed out. 
Request timed out. 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 


!R2624-A 路 由 器 出 现 故 障 后 ,网 络 出 现 中 断 ,之 后 很 快 网 络 恢复 网 络 连 通 性 
© 当 R2624-A 出 现 故 障 时 ,VRRP 状态 变化 情况 。 


R2624- B# show vrrp brief 


Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 100 ——- P Master 192.168.0.253 192.168.0.1 
FastEthernetO 20: 150 一 一 P Master 192.168.0.253 192.168.0.2 


图 R2624-A 出 现 故障 到 恢复 正常 的 过 程 中 ,网 络 连通 性 变化 。 


D:\> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix.: 


IP ra PAGA A AN A, : 192.168.0.234 
Subnet Maskscsececcsscuscaveuss : 255.255.255.0 
Default Gateway............... : 192.168.0.1 


D:\>ping 192.168.0.1- t 
Pinging 192.168.0.1 with 32 bytes of data: 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 
!R2624-A 出 现 故 障 

Request timed out. 

Request timed out. 
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Reply from 192.168.0.1: bytes- 32 time< 10ms TTL- 255 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 

!R2624- A 恢复 正常 时 刻 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 

Reply from 192.168.0.1: bytes- 32 time« 10ms TTL- 255 

! 从 R2624-A 出 现 故 障 到 恢复 正常 的 过 程 中 ,网 络 在 出 现 暂时 中 断 之 后 恢复 正常 。 在 路 由 器 
R2624-A 恢 复 正常 后 ,网 络 切 换 回来 ,通信 正常 ,不 会 发 生 中 断 


© 从 2624-A 出 现 故障 到 恢复 正常 ,VRRP 状态 变化 。 


R2624-B# show vrrp brief 


Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 100 ——- P Master 192.168.0.253 192.168.0.1 
FastEthernetO 20 150 ——- P Master 192.168.0.253 192.168.0.2 


!R2624- A 发 生 故 障 ,R2624-B 路 由 器 VRRP 状态 ,备份 组 状态 发 生变 化 。 
R2624- B# show vrrp brief 


Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernetO 10 100 ——- P Backup 192.168.0.254 192.168.0.1 
FastEthernetO 20 150 ——- P Master 192.168.0.253 192.168.0.2 


! 当 R2624- A 恢复 正常 ,R2624-B 路 由 器 VRRP 状态 
R2624- A# show vrrp brief 


Interface Grp Pri Time Own Pre State Master addr Group addr 
FastEthernet0 10 105 —— P Master 192.168.0.254 192.168.0.1 
FastEthernetO 20 100 —— P Backup 192.168.0.253 192.168.0.2 


134 R2624- A 恢复 正常 ,R2624-A 路 由 器 VRRP 状态 变化 


任务 62 大 型 单 核心 ) 网 络 综合 项 目 


情境 回顾 : 某 大 企业 集团 为 了 加 快 集团 的 信息 化 建设 ,需要 将 现 有 的 企业 各 子 网 络 
进行 升级 更 新 ,将 企业 网 建设 成 以 集团 办 公 自 动 化 .电子 商务 、 业 务 综合 管理 、 多 媒体 视频 
会 议 .远程 通信 ,信息 发 布 及 查询 为 核心 ,以 现代 网 络 技 术 为 依托 ,技术 先进 、 扩 展 性 强 的 
大 型 网 络 ; 将 集团 的 各 种 办 公 室 、 多 媒体 会 议 室 、 控 制 中 心 的 PC 机 工作站 ,终端 设备 , 控 
制 系统 用 高 速 计算 机 网 络 连 接 起 来 ,实现 内 、 外 沟通 的 现代 化 计算 机 网 络 系统 。 该 网 络 系 
统 是 日 后 支持 办 公 自 动 化 、 供 应 链 管 理 以 及 各 应 用 系统 运行 的 基础 设施 。 为 了 确保 这 些 
关键 应 用 系统 的 正常 运行 、 安 全 和 发 展 ,系统 必须 具备 如 下 特性 : 

CD 采用 先进 的 网 络 通信 技术 ,完成 集团 企业 网 的 建设 ,实现 各 分 公司 的 信息 化 。 

QD 在 整个 企业 集团 内 实现 所 有 部 门 的 办 公 自 动 化 ,提高 工作 效率 和 管理 服务 水 平 。 

© 在 整个 企业 集团 内 实现 资源 共享 .产品 信息 共享 、. 实 时 新 闻 发 布 。 

D 在 整个 企业 集团 内 实现 财务 电 算 化 。 

© 在 整个 企业 集团 内 实现 集中 式 的 供应 链 管理 系统 和 客户 服务 关系 管理 系统 。 
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根据 项 目 需 求 方 提出 的 以 上 要 求 进行 分 析 , 首 先 要 根据 网 络 具体 情况 ,合理 规划 网 
络 , 确 定 出 建设 后 的 网 络 拓扑 结构 和 在 更 新 升级 中 所 用 的 设备 ,然后 根据 设备 自身 的 特性 
合理 地 做 好 相关 功能 的 配置 。 主 要 通过 以 下 几 个 阶段 来 完成 网 络 的 集成 。 


1. 建设 后 的 网 络 拓扑 
建设 后 的 网 络 拓扑 如 图 6-2 所 示 。 


EN D 

den | 

nm GM 1 24 

| rr $3550-12SFP/GT | eo “Sep 
Web/FTP/MAIL a 

ark MB 


= 
e S2126G/50G 
p 


= 
zz 
= I—- zz 
$2126G/50G = D = 3 == 
= 
= = 5 82126G/50G 
$2126G/50G $2126G/50G 
— 双 链 路 1000M 光纤 ”一 单 链 路 1000M 光纤 
图 6-2 网 络 规划 图 


2. 网 络 实现 的 功能 和 网 络 拓扑 的 提出 


实现 内 部 网 络 VLAN 划分 ,具备 三 层 路 由 功能 ,并 启用 OSPF 路 由 协议 ;病毒 攻击 防 
护 .出 口 实现 NAT 地址 转换 ,全 网 采用 Starview 进行 管理 。 网 络 拓 扑 如 图 6-3 Bron. 
其 中 ， 

(D 出 口 设 备 : R2624 路 由 器 1 A: 

© 核心 设备 : S68 系列 (或 S65/S35 系列 ) 设 备 1 台 , 配 置 千 兆 光纤 接口 2 块 ; 

© 汇聚 设备 : S3550-24 2 A ,每 台 配置 1 块 千 兆 光 纤 接 口 ; 

@D RARE: S2126G 二 层 交 换 机 4 As 实验 PCS 台 ; 终 端 用 户 的 默认 网 关 指 向 各 
自 对 应 的 VLAN 接口 的 IP 地址 。 


3. 具体 实施 步骤 


第 一 步 : 基本 配置 。 
(1) S2126G-A1 基本 配置 


hostname S2126G-Al 
vlan 1 
exit 
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ISP 
NIC: 210.96.100.86/30 


VLAN 100: 192.168.128.45/29 R2624-A => “Gateway: 210.96.100.85 
El:2 


VLAN 200:192.168.129.45/29 10.96.100.85/30 
VLAN 300: 192.168.86.17/28 G4/10 E0: 192.168.8630/28 


S6806E-A 


: 172.16.10.1/. 
VLAN 10: 172.16.10.1/24 Gan 


VLAN 20: 172.16.20.1/24 
VLAN 30: 17216/.128.44/29 
VLAN 100: 192.168.128.44/29 


$3550-24-A 6 


VLAN 50: 172.18.50.1/24 
VLAN 60: 172.18.60.1/24 
VLAN 70: 172.18.70.1/24 
VLAN 200: 192.168.129.44/29 


$3550-24-B 


Starview 
trunk 


(Rip V2) F0/1 


F0/20 F0/10 F0/20 


trunk 


F0/20 $2126G-B1 F0/20\ S2126G-B2 


$21266-A\ ped || $2126G-A2 a aal 


VLAN 10: 172.16.10.0/24 VLAN 50: 172.18.50.0/24 
VLAN 20: 172.16.20.0/24 VLAN 60: 172.18.60.0/24 
VLAN 30: 172.16.30.0/24 VLAN 70: 172.18.70.0/24 


图 6-3 大 型 单 核心 网 络 拓扑 图 


vlan 10 ! 划 分 vlan 10 

exit 

vlan 20 ! 划 分 vlan 10 

exit 

vlan 30 ! 划 分 vlan 10 

exit 

enable secret level 1 0 star ! 设 置 telnet 密码 

enable secret level 15 0 star ! 设 置 特权 模式 密码 

interface range fastEthernet 0/1-3 

switchport access vlan 10 ! 将 £0/1.£0/2 和 f0/3 划 分 到 vlan 10 里 
exit 

interface range fastEthernet 0/4- 6 

switchport access vlan 20 ! 将 £0/4,£0/5 和 f0/6 划 分 到 vlan 20 Hi 
exit 

interface range fastEthernet 0/7- 9 

switchport access vlan 30 ! 将 £0/7,£0/8 和 f0/9 划 分 到 vlan 30 Hi 
exit 

interface fastEthernet 0/10 

switchport mode trunk ! 将 £0/10 设置 为 trunk 模式 

exit 

end 

S2126G- Alf 


(2) S2126G-A2 基本 配置 


hostname S2126G- A2 


vlan 1 
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exit 

vlan 10 

exit 

vlan 20 

exit 

vlan 30 

exit 

enable secret level 1 0 star 

enable secret level 15 0 star 
interface range fastEthernet 0/1-3 
switchport access vlan 10 

exit 

interface range fastEthernet 0/4- 6 
switchport access vlan 20 

exit 

interface range fastEthernet 0/7- 9 
switchport access vlan 30 

exit 

interface fastEthernet 0/20 
switchport mode trunk 

exit 

end 

S2126G- A24 


(3) S2126G-B1 基本 配置 


hostname S2126G- Bl 

vlan 1 

exit 

vlan 50 

exit 

vlan 60 

exit 

vlan 70 

exit 

enable secret level 1 0 star 

enable secret level 15 0 star 
interface range fastEthernet 0/1- 3 
switchport access vlan 50 

exit 

interface range fastEthernet 0/4- 6 
switchport access vlan 60 

exit 

interface range fastEthernet 0/7- 9 
switchport access vlan 70 

exit 

interface fastEthernet 0/10 
switchport mode trunk 

exit 
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(4) S2126G-B2 基本 配置 


hostname S2126G- B2 

vlan 1 

exit 

vlan 50 

exit 

vlan 60 

exit 

vlan 70 

exit 

enable secret level 1 0 star 

enable secret level 15 0 star 
interface range fastEthernet 0/1-3 
switchport access vlan 50 

exit 

interface range fastEthernet 0/4- 6 
switchport access vlan 60 

exit 

interface range fastEthernet 0/7- 9 
switchport access vlan 70 

exit 

interface fastEthernet 0/20 
switchport mode trunk 

exit 


(5) S3550-24-A 基本 配置 


hostname S3550- 24-A 

vlan 1 

exit 

vlan 10 

exit 

vlan 20 

exit 

vlan 30 

exit 

vlan 100 

exit 

interface FastEthernet 0/1 
switchport mode trunk 

exit 

interface FastEthernet 0/10 
switchport mode trunk 

exit 

interface FastEthernet 0/20 
switchport mode trunk 

exit 

interface Vlan 1 

ip address 192.168.0.1 255.255.255.0 
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no shut 

exit 

! 为 交换 机 分 配 管理 ip 地址 
interface Vlan 10 

ip address 172.16.10.1 255.255.255.0 
no shut 

exit 

! 为 vlan10 分 配 ip 地 址 

interface Vlan 20 

ip address 172.16.20.1 255.255.255.0 
no shut 

exit 

! 为 vlan20 分 配 ip Hh dk 

interface Vlan 30 

ip address 172.16.30.1 255.255.255.0 
no shut 

exit 

! 为 vlan30 分 配 ip 地 址 

interface Vlan 100 

ip address 192.168.128.44 255.255.255.248 
no shut 

exit 


! 为 vlan30 分 配 ip 地 址 
(6) S3550-24-B 基本 配置 


hostname S3550- 24-B 

vlan 1 

exit 

vlan 50 

exit 

vlan 60 

exit 

vlan 70 

exit 

vlan 200 

exit 

enable secret level 1 0 star 
enable secret level 15 0 star 
interface FastEthernet 0/1 
switchport mode trunk 

exit 

interface FastEthernet 0/10 
switchport mode trunk 

exit 

interface FastEthernet 0/20 
switchport mode trunk 

exit 

interface Vlan 1 

ip address 192.168.0.2 255.255.255.0 


170 


学 习 情 境 6 网 络 综合 配置 应 用 | 


no shut 

exit 

interface Vlan 50 

ip address 172.18.50.1 255.255.255.0 
no shut 

exit 

interface Vlan 60 

ip address 172.18.60.1 255.255.255.0 
no shut 

exit 

interface Vlan 70 

ip address 172.18.70.1 255.255.255.0 
no shut 

exit 

interface Vlan 200 

ip address 192.168.129.44 255.255.255.248 
no shut 

exit 

end 


(7) S6806E-A 基本 配置 


hostname S6806E- A 

enable secret level 1 0 star 

enable secret level 15 0 star 

interface GigabitEthernet 4/1 
switchport mode trunk 

exit 

interface GigabitEthernet 4/2 
switchport mode trunk 

exit 

interface GigabitEthernet 4/10 
switchport access vlan 300 

exit 

interface Vlan 1 

ip address 192.168.0.3 255.255.255.0 

no shut 

exit 

interface Vlan 100 

ip address 192.168.128.45 255.255.255.248 
no shut 

exit 

interface Vlan 200 

ip address 192.168.129.45 255.255.255.248 
no shut 

exit 

interface Vlan 300 

ip address 192.168.86.17 255.255.255.240 
no shut 


exit 
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end 


(8) R2624-A 基本 配置 


hostname R2624-A 

enable password star 

interface FastEthernetO 

ip address 192.168.86.30 255.255.255.240 
no shut 

ip nat inside 

exit 

interface FastEthernetl 

ip address 210.96.100.85 255.255.255.252 
no shut 

ip nat outside 

exit 

line con 0 

line aux 0 

line vty 0 4 

password star 

login 

end 


第 二 步 : OSPF 路 由 选择 协议 配置 及 测试 。 
(1) S3550-24-A OSPF 路 由 协议 配置 


router ospf ! 在 路 由 器 上 启动 OSPF 进程 
area 0.0.0.0 
network 172.16.10.0 255.255.255.0 area 0.0.0.0 

! 指 定 参 与 交换 ospf 更 新 的 网 络 以 及 这 些 网 络 所 属 的 区 域 
network 172.16.20.0 255.255.255.0 area 0.0.0.0 

! 指 定 参与 交换 ospf 更 新 的 网 络 以 及 这 些 网 络 所 属 的 区 域 
network 172.16.30.0 255.255.255.0 area 0.0.0.0 

! 指 定 参 与 交换 ospf 更 新 的 网 络 以 及 这 些 网 络 所 属 的 区 域 
network 192.168.128.40 255.255.255.248 area 0.0.0.0 

! 指 定 参与 交换 ospf 更 新 的 网 络 以 及 这 些 网 络 所 属 的 区 域 


end 
(2) S3550-24-B OSPF 路 由 协议 配置 


router ospf 

area 0.0.0.0 

network 172.18.50.0 255.255.255.0 area 0.0.0.0 
network 172.18.60.0 255.255.255.0 area 0.0.0.0 
network 172.18.70.0 255.255.255.0 area 0.0.0.0 
network 192.168.129.40 255.255.255.248 area 0.0.0.0 


end 
(3) S6806E OSPF 路 由 协议 配置 


router ospf 
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area 0.0.0.0 

network 192.168.86.16 255.255.255.240 area 0.0.0.0 
network 192.168. 128.40 255.255.255.248 area 0.0.0.0 
network 192.168. 129. 40 255.255.255.248 area 0.0.0.0 
end 


(4) R2624-A OSPF 路 由 协议 配置 


router ospf 1 ! 启 动 osp£ 进程 并 指定 本 地 进程 号 
network 210.96.100.84 0.0.0.3 area 0.0.0.0 
network 192.168.86.16 0.0.0.15 area 0.0.0.0 
default- information originate always 
! 不 管 路 由 器 是 否 存在 默认 路 由 ,总 是 向 其 他 路 由 器 公告 默认 路 由 


end 


(5) OSPF 验证 
(D 查看 S3550-24-A 路 由 表 及 相关 信息 


S3550- 24- A# show ip route ! 以 下 路 由 信息 除了 直 连 路 由 外 ,都 是 通过 ospf 学 习 来 的 


Type: C-connected,S - static,R - RIP,O - OSPF,IA -OSPF inter area 
N1 -OSPF NSSA external type 1,N2 -OSPF NSSA external type 2 
El -OSPF external type 1,E2 -OSPF external type 2 
Type Destination IP Next hop Interface Distance Metric Status 


O E20.0.0.0/0 192.168.128.45 VL100 110 1 Active 
C — 172.16.10.0/24 0.0.0.0 VL10 0 0 Rctive 
C 172.16.20.0/24 0.0.0.0 VL20 0 0 Active 
C — 172.16.30.0/24 0.0.0.0 VL30 0 0 Active 
O  172.18.50.0/24 192.168.128.45 VL100 110 3 Active 
O  172.18.60.0/24 192.168.128.45 VL100 110 3 Active 
O  172.18.70.0/24 192.168.128.45 VL100 110 3 Active 
C — 192.168.0.0/24 0.0.0.0 VLl 0 0 Active 
O  192.168.86.16/28 192.168.128.45 VL100 110 2 Active 
C — 192.168.128.40/29 0.0.0.0 VL1000 0 0 Active 
O  192.168.129.40/29 192.168.128.45 VL100 110 2 Active 
O  210.96.100.84/30 192.168.128.45 VL100 110 3 Active 
S3550- 24- A# show ip ospf neighbor ! 查 看 S3550- 24- A 的 邻居 路 由 器 

Neighbor ID Pri state DeadTime Address Interface 


192.168.129.45 1 full/DR 00:00:32 192.168.128.45 VL100 

S3550- 24- A 

© 查看 S3550-24-B 路 由 表 及 相关 信息 

S3550- 24- B# show ip route ! 以 下 路 由 信息 除了 直 连 路 由 外 .都 是 通过 ospf 学 习 来 的 


Type: C- connected, S- static,R- RIP,O- OSPF, IA- OSPF inter area 
N1-OSPF NSSA external type 1,N2- OSPF NSSA external type 2 
El- OSPF external type 1,E2- OSPF external type 2 
Type Destination IP Next hop Interface Distance Metric Status 
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o E2 0.0.0.0/0 192.168.129.45 VL200 110 1 Active 
o 172.16.10.0/24 192.168.129.45 VL200 110 3 Active 
o 172.16.20.0/24 192.168.129.45 VL200 110 3 Active 
o 172.16.30.0/24 192.168.129.45 VL200 110 3 Active 
c 172.18.50.0/24 0.0.0.0 VL50 0 Active 
Cc 172.18.60.0/24 0.0.0.0 VL60 0 Active 
C 172.18.70.0/24 0.0.0.0 VL70 0 Active 
C 192.168.0.0/24 0.0.0.0 VLl 0 Active 
o 192.168.86.16/28 192.168.129.45 VL200 110 2 Active 
o 192.168.128.40/29 192.168.129.45 VL200 110 2 Active 
c 192.168.129.40/29 0.0.0.0 VL200 0 0 Active 
o 210.96.100.84/30 192.168.129.45 VL200 110 3 Rctive 
S3550- 24- B# show ip ospf neighbor ! 查 看 S3550- 24-B 的 邻居 路 由 器 。 
Neighbor ID Pri State DeadTime Address Interface 
192.168.129.45 1 full/DR 00:00:35 192.168.129.45 VL200 
© 查看 S6806E-A 路 由 表 及 相关 信息 
S6806E- R# show ip route ! 以 下 路 由 信息 除了 直 连 路 由 外 ,都 是 通过 ospf 学 习 来 的 
Type: C - connected,S - static,R -RIP,B - BGP,P -policy 

O - OSPF, IA -OSPF inter area 

N1 - OSPF NSSA external type 1,N2 -OSPF NSSA external type 2 

El -OSPF external type 1,E2 -OSPF external type 2 
Type Destination IP Next hop Interface Distance Metric Status 
fo) E2 0.0.0.0/0 192.168.86.30 VL300 110 1 Active 
fo) 172.16.10.0/24 192.168.128.44 VL100 110 2 Active 
O 172.16.20.0/24 192.168.128.44 VL100 110 2 Active 
o 172.16.30.0/24 192.168.128.44 VL100 110 2 Active 
o 172.18.50.0/24 192.168.129.44 VL200 110 2 Active 
fo} 172.18.60.0/24 192.168.129.44 VL200 110 2 Active 
o 172.18.70.0/24 192.168.129.44 VL200 110 2 Active 
c 192.168.0.0/24 0.0.0.0 VLl 0 0 Active 
c 192.168.86.16/28 0.0.0.0 VL300 0 0 Active 
c 192.168.128.40/29 0.0.0.0 VL100 0 Active 
c 192.168.129.40/29 0.0.0.0 VL200 0 0 Active 
fo) 210.96.100.84/30 192.168.86.30 VL300 110 2 Active 
S6806E- A# show ip ospf neighbor ! 查 看 s6806E- A WI ospf 邻居 
Neighbor ID Pri State DeadTime Address Interface 


210.96.100.85 1  full/BDR 00:00:31 192.168.86.30  VL300 
192.168.128.44 1 full/BDR 00:00:30 192.168.128.44 VL100 
192.168.129.44 1 full/BDR 00:00:37 192.168.129.44 VL200 
S6806E- A4 


D 查看 R2624-A 路 由 表 及 相关 信息 


R2624- Af show ip route 
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Codes: C - connected,S - static, R - RIP 

O -OSPF,IA -OSPF inter area 

El -OSPF external type 1,E2 -OSPF external type 2 
Gateway of last resort is 210.96.100.86 to network 0.0.0.0 


192.168.86.0/28 is subnetted,1 subnets 

e 192.168.86.16 is directly connected, FastEthernet0 
172.16.0.0/24 is subnetted,3 subnets 

o 172.16.30.0 [110/3] via 192.168.86.17,00:43:05, FastEthernetO 

o 172.16.20.0 [110/3] via 192.168.86.17,00:43:05, FastEthernetO 

o 172.16.10.0 [110/3] via 192.168.86.17, 00:43:05, FastEthernetO 
172.18.0.0/24 is subnetted,3 subnets 

o 172.18.60.0 [110/3] via 192.168.86.17, 00:43:05, FastEthernetO 

o 172.18.50.0 [110/3] via 192.168.86.17, 00:43:05, FastEthernetO 

o 172.18.70.0 [110/3] via 192.168.86.17, 00:43:05, FastEthernetO 
210.96.100.0/30 is subnetted,1 subnets 

C 210.96.100.84 is directly connected, FastEthernet1 
192.168.128.0/29 is subnetted,1 subnets 

o 192.168.128.40 [110/2] via 192.168.86.17,00:43:05, FastEthernetO 
192.168.129.0/29 is subnetted,1 subnets 

o 192.168.129.40 [110/2] via 192.168.86.17, 00:43:05, FastEthernetO 

Sx 0.0.0.0/0 [1/0] via 210.96.100.86 


R2624- A# show ip ospf neighbor ! 查 看 R2624- A 的 ospf 邻居 
Neighbor ID Pri State Dead Time Address 


Interface 


192.168.129.45 1  FULL/DR 00:00:36 192.168.86.17 FastEthernetO 
R2624- A# 


第 三 步 : 基本 连通 性 测试 ,包括 网 络 连 通 性 测试 和 不 同 VLAN 间 用 户 通信 连通 性 


测试 。 


(1) 网 络 连通 性 测试 
对 于 在 S2126G-A1 的 vlan 10 内 的 用 户 , 用 户主 机 IP 地 址 为 172. 16. 10. 195/24 ,网 


关 为 172. 16. 10. 1 。 


D:\> ipconfig 

Windows 2000 IP Configuration 

Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix .: 

s 4 2372.16.10.195 
Subnet Mask... : 255.255.255.0 
Default Gateway 2 172.16.10.1 

! 在 vlanlO 里 ,ip 地 址 为 172.16.10.195 主机 为 测试 主机 

D:\>ping 172.16.10.1 

Pinging 172.16.10.1 with 32 bytes of data: 

Reply from 172.16.10.1: bytes- 32 time« 10ms TTL- 64 

Reply from 172.16.10.1: bytes- 32 time« 10ms TTL- 64 

! 测 试 到 网 关 的 连通 性 

D:\>ping 172.16.20.1 

Pinging 172.16.20.1 with 32 bytes of data: 

Reply from 172.16.20.1: bytes- 32 time« 10ms TTL- 64 
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! 测 试 到 s3550- 24- A vlan 20 svi 口 的 连通 性 

D:\>ping 172.16.30.1 

Pinging 172.16.30.1 with 32 bytes of data: 

Reply from 172.16.30.1: bytes- 32 time« 10ms TTL- 64 
! 测 试 到 S3550- 24- A vlan 30 svi 口 的 连通 性 

D:\>ping 192.168.128.44 

Pinging 192.168.128.44 with 32 bytes of data: 

Reply from 192.168.128.44: bytes= 32 time< 10ms TTL- 64 
! 测 试 到 s3550- 24- A vlan 100 svi 口 的 连通 性 
D:\>ping 192.168.128.45 

Pinging 192.168.128.45 with 32 bytes of data: 

Reply from 192.168.128.45: bytes- 32 time= 2ms TTL- 62 
! 测 试 到 S6806E- A vlan 100 ff svi 口 的 连通 性 
D:\>ping 192.168.129.45 

Pinging 192.168.129.45 with 32 bytes of data: 

Reply from 192.168.129.45: bytes= 32 time= lms TTL- 63 
! 测 试 到 s6806E-A vlan 200 的 svi 口 的 连通 性 
D:\>ping 192.168.86.17 

Pinging 192.168.86.17 with 32 bytes of data: 

Reply from 192.168.86.17: bytes= 32 time= Ims TTL- 63 
! 测 试 到 Se806E- A vlan 300 ff svi 口 的 连通 性 
D:\>ping 192.168.86.30 

Pinging 192.168.86.30 with 32 bytes of data: 

Reply from 192.168.86.30: bytes= 32 time< 10ms TTL= 253 
! 测 试 到 R2624- A f0 口 的 连通 性 

D:\>ping 172.18.50.1 

Pinging 172.18.50.1 with 32 bytes of data: 

Reply from 172.18.50.1: bytes- 32 time= lms TTL- 62 
Reply from 172.18.50.1: bytes- 32 time- 2ms TTL- 62 

! 测 试 到 53550- 24- B vlan 50 的 svi 口 的 连通 性 
D:\>ping 172.18.60.1 

Pinging 172.18.60.1 with 32 bytes of data: 

Reply from 172.18.60.1: bytes- 32 time= lms TTL- 62 

! 测 试 到 53550- 24- B vlan 60 的 svi 口 的 连通 性 
D:\>ping 172.18.70.1 

Pinging 172.18.70.1 with 32 bytes of data: 

Reply from 172.18.70.1: bytes- 32 time- lms TTL- 62 

! 测 试 到 S3550- 24- B vlan 70 的 svi 口 的 连通 性 
D:\>ping 192.168.129.44 

Pinging 192.168.129.44 with 32 bytes of data: 

Reply from 192.168.129.44: bytes- 32 time< 10ms TTL- 62 
! 测 试 到 S3550- 24- B vlan 200 的 svi 口 的 连通 性 
D:\>ping 210.96.100.85 

Pinging 210.96.100.85 with 32 bytes of data: 

Reply from 210.96.100.85: bytes= 32 time- Ims TTL- 253 
! 测 试 到 R2624- A Fit die 柜 口 的 连通 性 


(2) VLAN 间 通 信 测 试 
这 里 只 举例 测试 vlan 50 里 用 户 172. 18. 50. 195 与 vlan 10 里 用 户 172. 16. 10. 179 通 
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信 的 连通 性 ,其 中 主机 指向 各 自 的 网 关 。 由 于 不 同 VLAN 间 的 用 户 通信 测试 方法 相同 ， 
这 里 将 举例 说 明 。 


D:\> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 
Connection- specific DNS Suffix .: 
IP Address... : 172.18.50.195 
Subnet Mas! : 255.255.255.0 
Default Gateway.. : 172.18.50.1 
D:V» ping 172.18.50.1 
Pinging 172.18.50.1 with 32 bytes of data: 
Reply from 172.18.50.1: bytes- 32 time« 10ms TTL- 64 
!vlan 50 用 户 172.18.50.195 测试 到 此 网 关 的 连通 性 
D: V» ping 192.168.86.30 
Pinging 192.168.86.30 with 32 bytes of data: 
Reply from 192.168.86.30: bytes- 32 time« 10ms TTL- 253 
! 测 试 到 网 络 的 连通 性 
D:\>ping 172.16.10.179 
Pinging 172.16.10.179 with 32 bytes of data: 
Reply from 172.16.10.179: bytes- 32 time<10ms TTL- 125 
Reply from 172.16.10.179: bytes- 32 time« 10ms TTL- 125 
Reply from 172.16.10.179: bytes- 32 time« 10ms TTL- 125 
Reply from 172.16.10.179: bytes- 32 time« 10ms TTL- 125 
! 测 试 vlan50 用 户 172.18.50.195 到 vlan10 用 户 172.16.10.179 的 连通 性 


第 四 步 : NAT 功能 配置 及 测试 。NAT 功能 是 在 R2624-A 上 实现 的 。 
(1) 在 R2624-A 上 配置 NAT 功能 。 


access- list 10 permit any 

exit 

ip nat inside source list 10 interface FastEthernetl overload 
interface FastEthernetO 

ip nat inside 

exit 

interface FastEthernetl 

ip nat outside 

exit 


(2) 测试 nat 功能 。 如 拓扑 图 所 示 , 在 R2624-A F1 口 的 对 端 放置 PC 模拟 ISP, i 


过 内 部 主机 172. 18. 50. 195 ping 主机 210. 96. 100. 86 ,在 路 由 器 上 调试 NAT, 通 过 查看 
相关 调试 信息 测试 NAT 功能 。 


R2624- A# debug ip nat 

NAT events debugging is on 

R2624- A# debug ip nat detailed 

NAT detailed events debugging is on 
R2624- A# debug ip nat packet 

NAT packet flow events debugging is on 
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R2624- Af 
ITE R2624-A 上 开启 NAT debug 功 能 
D:\Documents and Settings\Administrator> ipconfig 
Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 

Connection- specific DNS Suffix.: 

IP Address : 172.18.50.195 

Subnet Mask.. : 255.255.255.0 

Default Gateway ............... : 172.18.50.1 
D:\ > ping 210.96.100.86 
! 客 户 机 访问 外 部 网 络 主机 
Pinging 210.96.100.86 with 32 bytes of data: 
Reply from 210.96.100.86: bytes= 32 time= 3ms TTL- 125 
Reply from 210.96.100.86: bytes= 32 time- 3ms TTL- 125 
Reply from 210.96.100.86: bytes= 32 time- 3ms TTL- 125 
2624- A# 
IPNAT: I* icmp 210.96.100.85:512- »210.96.100.86:512 [5930, 60] 
IPNAT: O icmp 210.96.100.86:512- »210.96.100.85:512 [21452, 60] 
IBNAT: O* icmp 210.96.100.86:512- »172.18.50.195:512 [21452, 60] 
IPNAT: I icmp 172.18.50.195:512- »210.96.100.86:512 [5931, 60] 
IPNAT: I* icmp 210.96.100.85:512- »210.96.100.86:512 [5931, 60] 
IBNAT: O icmp 210.96.100.86:512- »210.96.100.85:512 [21453, 60] 
IBNAT: O* icmp 210.96.100.86:512- »172.18.50.195:512 [21453, 60] 
INAT 相关 信息 ,可 以 看 到 NAT 成 功 


规律 总 结 (检查 ) 


任何 规划 都 是 从 需求 开始 的 ,网 络 规划 也 不 例外 。 马 斯 洛 的 需求 理论 中 提 到 : 生理 
需求 是 其 他 所 有 需求 的 基础 需求 ,在 人 们 转向 较 高 层次 的 需求 之 前 ,总 是 尽力 先 满足 这 类 
需求 ,一 个 人 在 饥饿 时 不 会 对 其 他 任何 事物 感 兴趣 。 如 果 拿 马 斯 洛 的 理论 类 比 网 络 需 求 
及 规划 ,生理 需求 可 以 看 做 带宽 需求 ,更 高 层次 的 需求 可 以 比 作 业务 应 用 。10 年 前 ,在 带 
宽 资源 有 限 的 情况 下 ,任何 企业 都 不 敢 想象 基于 IP 网 络 的 视频 会 议 应 用 ,而 如 今 随 着 技 
术 的 进步 ,带宽 不 再 是 瓶颈 ,企业 把 需求 转向 能 为 自身 带 来 更 多 利益 的 ,更 加 切合 实际 的 
业务 应 用 上 。 

我 们 在 以 上 任务 中 体现 的 主要 还 是 基础 网 络 的 规划 和 构建 , 随 着 技术 的 发 展 , 不 仅仅 
是 视频 应 用 ,VoIP、 即 时 通信 ,数据 存储 、 无 线 通信 ,安全 中 心 等 基于 IP 网 络 的 业务 应 用 
不 再 遥 不 可 及 。 事 实 上 ,两 年 前 ,中 国企 业 的 IT 业务 应 用 已 经 呈现 多 元 化 的 趋势 ,未 来 
基于 IP 网 络 的 业务 应 用 会 越 来 越 多 。 

当 基 于 IP 网 络 多 元 化 的 业务 应 用 给 企业 带 来 便利 的 同时 ,也 给 企业 带 来 不 小 的 难 
题 , 那 就 是 如 何 管理 。2007 年 ,经 过 抽样 调查 发 现 , 有 83% 网 管 人 员 每 日 疲 于 奔 波 在 解决 
各 种 应 用 问题 上 ,他 们 更 愿意 将 时 间 用 于 优化 网 络 。 此 外 ,在 调查 中 发 现 ,能 够 实现 对 安 
全 ,性 能 ,故障 .配置 和 资产 进行 综合 管理 的 平台 成 为 企业 网 络 构建 中 考虑 的 重要 因素 。 

中 国企 业 网 络 建 设 及 规划 经 过 几 年 的 发 展 ,已 经 有 了 长 足 的 进步 。 企 业 不 再 对 自己 
的 需求 茫然 无 措 。 如 何 通过 IP 网 络 提升 业务 运转 能 力 ,减少 网 络 运 营 成 本 ,获取 更 大 的 
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利润 ,已 经 成 为 企业 明确 而 清晰 的 需求 ,但 问题 是 ,有 了 需求 不 知道 怎么 落实 ,很 多 企业 急 
需 找到 适合 自身 的 网 络 解决 方案 。 

针对 单一 设备 的 网 络 解决 方案 早已 一 去 不 返 了 。 由 于 业务 呈现 的 多 元 化 趋势 ,企业 
需要 的 是 全 面 的 ,统一 的 .易于 管理 的 整体 IT 网 络 解决 方案 。 对 于 IP 业务 应 用 的 承载 
体 , 需 要 网 络 数据 通信 和 解决 方案 ;对 于 移动 接 入 用 户 ,需要 无 线 通 信和 解决 方案 ;对 于 海量 数 
据 , 需 要 IP 存储 解决 方案 ;为 了 保障 业务 不 受 外 来 威胁 影响 ,需要 网 络 安全 解决 方案 。 以 
Cisco ,华为 、 锐 捷 为 代表 的 厂家 ,都 能 够 同时 提供 这 些 产 品 和 整体 技术 解决 方案 。 


拓展 提高 (拓展 ) 
1. R2624-A 参考 配置 


R2624- A (config) # end 

R2624- A# show run 

Building configuration... 

Current configuration: 

version 6.14 (2) 

hostname "R2624- A" 

enable password star 

ip subnet- zero 

interface FastEthernetO 
ip address 192.168.86.30 255.255.255.240 
ip nat inside 

J 

interface FastEthernet1 
ip address 210.96.100.85 255.255.255.252 
ip nat outside 

interface FastEthernet2 

no ip address 

shutdown 

interface FastEthernet3 

no ip address 

shutdown 

interface Serial0 

no ip address 

interface Seriall 

no ip address 

router ospf 1 

network 210.96.100.84 0.0.0.3 area 0.0.0.0 

network 192.168.86.16 0.0.0.15 area 0.0.0.0 

default- information originate always 

ip nat inside source list 10 interface FastEthernet1 overload 

ip classless 

ip route 0.0.0.0 0.0.0.0 210.96.100.86 

access- list 10 permit any 

line con 0 

line aux 0 
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line vty 04 
password star 
login 

end 


2. S6806E-A 参考 配置 


S6806E- A# show run 

System software version: 2.41(2) Build Sep 19 2005 Rel 
Building configuration... 

Current configuration: 883 bytes 

version 1.0 

install 4 12sfp/gt 

ip routing algorithm CRC32_UPPER 

hostname S6806E-A 

enable secret level 1 5 $210rJ% (31Mp]K * .4AxB*" [/QwNq&# Z1 
enable secret level 15 5 $2knAxB*3glowNg&4h'@ IOrJQimLMp]K 
interface GigabitEthernet 4/1 

switchport mode trunk 

interface GigabitEthernet 4/2 

switchport mode trunk 

interface GigabitEthernet 4/10 

switchport access vlan 300 

interface Vlan 1 

ip address 192.168.0.3 255.255.255.0 

interface Vlan 100 

ip address 192.168.128.45 255.255.255.248 
interface Vlan 200 

ip address 192.168.129.45 255.255.255.248 
interface Vlan 300 

ip address 192.168.86.17 255.255.255.240 

router ospf 

area 0.0.0.0 

network 192.168.86.16 255.255.255.240 area 0.0.0.0 
network 192.168.128.40 255.255.255.248 area 0.0.0.0 
network 192.168.129.40 255.255.255.248 area 0.0.0.0 
snmp- server community star ro 

end 


3. S3550-24-B 参考 配置 


S3550- 24- B# show run 

Building configuration... 
Current configuration: 968 bytes 
version 1.0 

hostname S3550- 24- B 

vlan 1 

vlan 50 

vlan 60 
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vlan 70 

vlan 200 

enable secret level 1 5 $2gkE, lu3dhl&- 8U4ein'.tjQfjo* /7R 
enable secret level 15 5 $2G1X) sv3» H. Y * T74C, tZ [V/QD* S (\W& 
interface FastEthernet 0/1 

switchport mode trunk 

interface FastEthernet 0/10 

switchport mode trunk 

interface FastEthernet 0/20 

switchport mode trunk 

interface Vlan 1 

ip address 192.168.0.2 255.255.255.0 

interface Vlan 50 

ip address 172.18.50.1 255.255.255.0 

interface Vlan 60 

ip address 172.18.60.1 255.255.255.0 

interface Vlan 70 

ip address 172.18.70.1 255.255.255.0 

interface Vlan 200 

ip address 192.168.129.44 255.255.255.248 

router ospf 

area 0.0.0.0 

network 172.18.50.0 255.255.255.0 area 0.0.0.0 
network 172.18.60.0 255.255.255.0 area 0.0.0.0 
network 172.18.70.0 255.255.255.0 area 0.0.0.0 
network 192.168.129.40 255.255.255.248 area 0.0.0.0 
snmp- server community star rw 

end 


4. S3550-24-A 参考 配置 


53550- 24- A# show run 
Building configuration... 
Current configuration: 968 bytes 
version 1.0 

hostname S3550- 24-A 

vlan 1 

vlan 10 

vlan 20 

vlan 30 

vlan 100 

enable secret level 15 0 100 
enable secret level 15 5 100 
interface FastEthernet 0/1 
switchport mode trunk 
interface FastEthernet 0/10 
switchport mode trunk 
interface FastEthernet 0/20 
switchport mode trunk 
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interface Vlan 1 

ip address 192.168.0.1 255.255.255.0 
interface Vlan 10 

ip address 172.16.10.1 255.255.255.0 
interface Vlan 20 

ip address 172.16.20.1 255.255.255.0 
interface Vlan 30 

ip address 172.16.30.1 255.255.255.0 
interface Vlan 100 

ip address 192.168. 128.44 255.255.255.248 
router ospf 

area 0.0.0.0 

network 172.16.10.0 255.255.255.0 area 0.0.0.0 
network 172.16.20.0 255.255.255.0 area 0.0.0.0 
network 172.16.30.0 255.255.255.0 area 0.0.0.0 
network 192.168.128.40 255.255.255.248 area 0.0.0.0 
snmp- server community star rw 

end 


5. S2126G-B1 参考 配置 


S2126G- B14 show run 

System software version: 1.61 Build Jun 17 2005 Release 
Building configuration... 
Current configuration: 800 bytes 
version 1.0 

hostname S2126G- Bl 

vlan 1 

vlan 50 

vlan 60 

vlan 70 

enable secret level 15 0 100 
enable secret level 15 5 100 
interface fastEthernet 0/1 
switchport access vlan 50 
interface fastEthernet 0/2 
switchport access vlan 50 
interface fastEthernet 0/3 
switchport access vlan 50 
interface fastEthernet 0/4 
switchport access vlan 60 
interface fastEthernet 0/5 
Switchport access vlan 60 
interface fastEthernet 0/6 
Switchport access vlan 60 
interface fastEthernet 0/7 
Switchport access vlan 70 
interface fastEthernet 0/8 
switchport access vlan 70 
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interface fastEthernet 0/9 
Switchport access vlan 70 
interface fastEthernet 0/10 
switchport mode trunk 

end 

S2126G- B1# 


6. S2126G-B2 参考 配置 


S2126G- B2# show run 

System software version: 1.61 Build Jun 17 2005 Release 
Building configuration 
Current configuration: 800 bytes 

version 1.0 

hostname S2126G- B2 

vlan 1 

vlan 50 

vlan 60 

: 

vlan 70 

enable secret level 1 5 $29- GIX) 3R:» H.Y * 4 ;C,tZ[Q0« DF S(N 
enable secret level 15 5 $2Y * T7+ .3tZ[V/, | 4S (\W&- /QX)sv'~ 1 
interface fastEthernet 0/1 

switchport access vlan 50 

interface fastEthernet 0/2 

switchport access vlan 50 

interface fastEthernet 0/3 

Switchport access vlan 50 

interface fastEthernet 0/4 

switchport access vlan 60 

interface fastEthernet 0/5 

switchport access vlan 60 

interface fastEthernet 0/6 

switchport access vlan 60 

interface fastEthernet 0/7 

switchport access vlan 70 

interface fastEthernet 0/8 

switchport access vlan 70 

interface fastEthernet 0/9 

switchport access vlan 70 

interface fastEthernet 0/10 

switchport mode trunk 

end 

S2126G- B2# 


7. S2126G-A1 参考 配置 


S2126G- Al# show run 
Building configuration... 
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Current configuration: 800 bytes 
version 1.0 

hostname S2126G- Al 

vlan 1 

vlan 10 

vlan 20 

vlan 30 

enable secret level 1 5 $2@ IOrJ$3mIMp]K * 4nAxB*" [QowNGq&# Z 
enable secret level 15 5 $2- /- aeh3'- 1'dfi4+ .t(bckQ, | 7zygl 
interface fastEthernet 0/1 
Switchport access vlan 10 
interface fastEthernet 0/2 
switchport access vlan 10 
interface fastEthernet 0/3 
switchport access vlan 10 
interface fastEthernet 0/4 
Switchport access vlan 20 
interface fastEthernet 0/5 
switchport access vlan 20 
interface fastEthernet 0/6 
switchport access vlan 20 
interface fastEthernet 0/7 
switchport access vlan 30 
interface fastEthernet 0/8 
switchport access vlan 30 
interface fastEthernet 0/9 
switchport access vlan 30 
interface fastEthernet 0/10 
switchport mode trunk 

end 

S2126G- Alf 


8. S2126G-A2 参考 配置 


S2126G- A14 show run 

Building configuration... 

Current configuration: 800 bytes 

version 1.0 

hostname S2126G- A2 

vlan 1 

vlan 10 

vlan 20 

vlan 30 

enable secret level 1 5 $20 IOrJ&3mIMp]K * 4nAxB^" [QowNq&# Z 
enable secret level 15 5 $2- /- aeh3'« 1"dfi4+ .t(bckQ, | 7zygl 
interface fastEthernet 0/1 

Switchport access vlan 10 

interface fastEthernet 0/2 

Switchport access vlan 10 
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interface fastEthernet 0/3 
Switchport access vlan 10 
interface fastEthernet 0/4 
Switchport access vlan 20 
interface fastEthernet 0/5 
Switchport access vlan 20 
interface fastEthernet 0/6 
switchport access vlan 20 
interface fastEthernet 0/7 
Switchport access vlan 30 
interface fastEthernet 0/8 
switchport access vlan 30 
interface fastEthernet 0/9 
Switchport access vlan 30 
interface fastEthernet 0/10 
switchport mode trunk 

end 
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